Odpowiedzialność za dane
W Internecie huczy i grzmi z powodu niedawnego wycieku niedawnej publikacji produkcyjnej bazy danych serwisu wykop.pl (np. blog Piotra Koniecznego), zawierającej m.in. dane użytkowników. O ile wyciek danych z profilu, które i tak są publikowane nie jest tak bolesny, to nazwa użytkownika + niesolony hash hasła + adres e-mail już jest. Jak podaje VaGla wykop.pl miał zarejestrowany zbiór danych osobowych. Pytanie brzmi, czy login + niezabezpieczone hasło + e-mail są danymi osobowymi należącymi do chronionego zbioru?
Skrót dla osób odciętych od świata: Portal wykop.pl ustawił serwer testowy nowej wersji serwisu w taki sposób, że był on dostępny z Internetu. Testowy serwer bazy danych został wypełniony prawdziwymi danymi z produkcyjnej wersji wykopu i niezabezpieczony żadnym hasłem. Po kilku tygodniach od zdarzenia (szantaż ze strony nieznanego sprawcy) odkrył to użytkownik gimbus1xD, który opublikował informacje na ten temat na samym wykopie. Błędy techniczne popełnione na wykopie zostały już wymienione na innych blogach i portalach, błędy PRowe w komentarzach pod oficjalnym wpisem i oficjalną przemową. Na razie cicho jest w sprawie odpowiedzialności za ewentualne szkody.
Jedyną metodą postępowania w sprawie szkód wynikłych z opublikowania danych, która przychodzi mi na myśl, są indywidualne pozwy cywilne. Pytania o inny sposób załatwiania tego typu spraw pozostają bez odpowiedzi. Do tego polskie prawo nie sprzyja poszukiwaniom osoby odpowiedzialnej za taki stan rzeczy, a nawet ją chroni (vide art.267 ust.2 kodeksu karnego). Karnie odpowiada nie administrator, który poprzez zaniedbanie opublikował dane swoich użytkowników, ale niecny “hakier”, który na tę publikację trafił. Nie ma też obowiązku informowania użytkowników o tym, że ich dane wyciekły, a szybkie poinformowanie użytkowników mogłoby zapobiec wykorzystaniu ich danych. Brakuje w tym wszystkim równowagi pomiędzy odpowiedzialnością użytkownika, a odpowiedzialnością zarządcy systemu informatycznego.
W sieci zaczęły już pojawiać się komentarze mówiące, że przecież każdemu mogło się to zdarzyć, nikt nie jest nieomylny. W branży informatycznej, a konkretniej w webdesignie istnieje jednak zbiór dobrych praktyk, które często okazują się wiedzą tajemną. Te dobre praktyki nie są jakimiś nieżyciowymi wymaganiami o stosowaniu drutu kolczastego w serwerowni, ale prostymi regułami do których należy się stosować, jeżeli nasz serwis przyjmuje dane z zewnątrz (sprawdzaj każdy input, najlepiej przy pomocy gotowych mechanizmów) lub ma przechowywać hasła (hashuj hasła z tzw. solą, możliwie długą – tu pozdrowienia dla Allegro). Usprawiedliwianie administratorów, że “tak dużego portalu nie da się w 100% zabezpieczyć” przy tego typu zaniedbaniach jest równie trafne, co stwierdzenie, że malowanie pojazdów wojskowych w jaskrawożółte i czerwone naprzemienne pasy to nic złego, bo i tak nie można ich uczynić w 100% niewidzialnymi.
Na razie użytkownikom portali pozostaje tylko siedzieć cicho i mieć nadzieję, że w ulubionych portalach pracują ludzie, którzy wiedzą co robią. Niestety prawo nie daje możliwości wyciągnięcia szybkich i automatycznych (bez siedzenia w sądzie przez kilka lat) konsekwencji wobec administratora serwisu internetowego. Może czas zacząć bezwzględnie wymagać rozsądku od użytkowników Internetu?
Interpretacja i weryfikowanie danych z ELS
Artykuł ten jest drugim z serii na temat Elektronicznej Legitymacji Studenckiej. Pierwszy opisywał jak uzyskać binarny zrzut pliku danych i certyfikatu (dwa pliki opisane w załączniku nr 3 do rozporządzenia).
Co można znaleźć w plikach?
W pliku z danymi (w tym artykule nazwany „dane.bin”, zrzucany za pomocą polecenia „./elsr > dane.bin”) można znaleźć imiona i nazwisko studenta, numer albumu, kod serii albumów, nazwę uczelni, PESEL oraz datę ważności legitymacji. Dodatkowo znajduje się tam numer seryjny układu karty (do weryfikacji czy dane znajdują się na oryginalnym nośniku) oraz wersja formatu pliku (na razie istnieje tylko wersja 1). Oczywiście wszystkie powyższe dane są otoczone strukturą podpisu elektronicznego, o czym później.
(więcej…)
Czytanie ELS przez interfejs stykowy
Poniższy artykuł jest krótkim opisem moich eksperymentów z ELS. Mam nadzieję, że pomoże rozpocząć zabawę z kartami 7816, które z jednej strony są już zastępowane przez karty z interfejsem bezstykowym, z drugiej (głównie ze względu na bezpieczeństwo i pobór mocy) wchodzą do naszego życia codziennego. (więcej…)
