Digitalna prava u Srbiji tokom leta: novo curenje podataka i politički pritisci

Novim presekom stanja ispraćene su povrede digitalnih prava u Srbiji u periodu jul-septembar. Najčešći su bili pritisci zbog izražavanja aktivnosti na internetu, ali i manipulacije i propaganda u digitalnom okruženju. Slučajevi iz kategorija povreda informacione privatnosti i zaštite podataka o ličnosti, narušavanja informacione bezbednosti, kao i blokiranja i filtriranja sadržaja, iako ne tako brojni, izazvali su posebnu pažnju u prethodnom periodu. 

Od jula do septembra 2021. godine SHARE Fondacija zabeležila je ukupno 25 povreda prava u digitalnoj sferi. U septembru i avgustu primećeno je po 8, a u julu 9 povreda prava na internetu. Najčešće žrtve povreda bili su, kao i u prethodnom periodu, građani i novinari – po 8 i 6 puta. Digitalna prava ovoga puta najviše su kršili građani, u 9 slučajeva, kao i organi vlasti, u 4 slučaja. Kateogrija pritisaka zbog izražavanja aktivnosti na internetu ubedljivo je najviše kršena, u čak 17 slučajeva, što je trend koji se nastavlja iz prethodnih perioda zabeleženih u monitoring izveštajima. Za njom slede manipulacije i propaganda u digitalnom okruženju, zabeležene 5 puta, blokiranje i filtriranje sadržaja i narušavanje informacione bezbednosti, po 2 puta i jedan slučaj povrede informacione privatnosti i zaštite podataka o ličnosti.

Značajan izazov za digitalna prava i slobode bio je pokušaj legalizacije masovnog biometrijskog video-nadzora u javnim prostorima kroz Nacrt zakona o unutrašnjim poslovima, povodom čega su reagovali SHARE Fondacija, mreža organizacija za zaštitu digitalnih prava EDRi, evroposlanici, kao i organizacije iz civilnog i medijskog sektora. Uz pritisak domaće i međunarodne javnosti, problematični nacrt je povučen iz procedure odlukom ministra unutrašnjih poslova Aleksandra Vulina, nakon konsultacija sa predsednikom Srbije, uz salvu uvreda upućenih organizacijama koje su učestvovale u javnoj raspravi i neosnovane tvrdnje u vezi sa biometrijskim nadzorom.


Ipak, najveći incident koji je zabeležen u posmatranom periodu bilo je curenje podataka sa veb aplikacije Privredne komore Srbije, što potencijalno predstavlja najveću povredu informacione privatnosti građana još od slučaja Agencije za privatizaciju. Više o tome sledi u tekstu Jovana Šikanje, koji je ukazao javnosti na ovaj propust.



PKS data breach 2021: kako je otkrivena rupa u Privrednoj komori


Nije svako masivno probijanje zaštite podataka posledica sofisticiranog sajber napada u kom “momci sa crnim kapuljačama” uspevaju da slome kompleksnu i višeslojnu zaštitu organizacije čije su sisteme napali. Ponekad je mnogo lakše od toga, ponekad se to dogodi “slučajno”.

Moj prijatelj Dušan Dželebdžić poslao mi je 25. avgusta poruku preko tvitera, da mi pokaže zapanjujuće rezultate jedne obične pretrage na Guglu. Tražio je, naime, šablon za uplatnicu i naišao na pravu – sa ličnim podacima fizičkog lica koje je izvršilo uplatu. Uplatnica se nalazila na jednoj aplikaciji u vlasništvu Privredne komore Srbije, odakle je indeksirana za pretragu.

Dušan je odmah ustanovio da je na veb serveru PKS omogućen “directory listing”, specifična serverska funkcija koja praktično otvara pristup svim fajlovima koji se čuvaju na serveru. U tom trenutku nismo znali šta se od podataka na serveru nalazi, tačnu količinu podataka koja nam je dostupna, kao ni čemu sam servis služi.

Da bih jasno predočio o čemu se radi i koliko je ova greška katastrofalna, ilustrovaću priču primerima sa izmišljenim adresama – jer ćemo stvarne URL-ove držati u tajnosti, sve dok ne budemo apsolutno sigurni da podaci više nisu dostupni.

Prvi URL koji smo pronašli izgledao je, recimo, ovako:
https://ranjiva.aplikacija.pks.rs/storage/files/pks/01-2021/uplatnica.pdf


Ako se URL modifkuje i ukloni referenca fajla:
https://ranjiva.aplikacija.pks.rs/storage/files/pks/01-2021/
pravilno podešen server poslao bi sledeći odgovor:

Međutim, ako je na serveru omogućen “directory listing”, umesto poruke o zabrani pristupa, biće prikazan spisak svih fajlova koji se nalaze u tom direktorijumu. Na primer, ovako:

Da bismo proverili šta se od podataka nalazi na serveru, kliknuli smo na nekoliko potpuno nasumičnih linkova iz raznih dostupnih direktorijuma. Prikazale su nam se skenirane lične karte, fakultetske diplome, kao i nekoliko ugovora.

Neki od direktorijuma kojima smo pokušali da pristupimo imali su u sebi toliku količinu fajlova, da je brauzer pucao u nemogućnosti da učita masu podataka.

Da stvar bude gora, svi podaci su bili dostupni bez bilo kakve autentifikacije. Drugim rečima, mogao je da im pristupi bilo ko, bilo kada.

Tačan broj fajlova u nepreglednim listama, sa ogromnim količinama podataka, nismo ustanovili, jer kad smo shvatili da se na serveru nalaze veoma osetljivi podaci, obustavili smo pretragu da ne bismo ni na koji način dalje ugrožavali privatnost građana. Fajlove kojima smo pristupili prilikom provere, uklonili smo sa svojih računara.

Daljom analizom smo ustanovili da su fajlovi kojima smo upravo pristupili zapravo spremište  veb aplikacije, gde su ulogovani korisnici kačili svoja dokumenta prilikom korišćenja raznih servisa. Čak i bez omogućene funkcije “directory listing”, koja nam je otvorila pristup velikom broju fajlova, ovakav dizajn same aplikacije je nedopustivo  neadekvatan za ovu svrhu.

Zamislite kada bi svi fajlovi koje ste slali kao prilog mejlova, privatne slike, snimci, tekstovi, bili dostupni bilo kome, bez bilo kakve autentifikacije, jer ih Gugl skladišti na URL-u https://attachments.google.com/files/01-2021/uplatnica.pdf (i ova adresa je izmišljena kao primer).

Pošto smo prikupili sve potrebne informacije, kontaktirali smo kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Reakcija je bila munjevita. Već narednog dana, 26. avgusta, isključen je “directory listing” na serveru, da bi 27. avgusta kompletno sporno spremište fajlova uklonjeno sa lica interneta i postalo nedostupno.

Epilog cele priče još uvek ne znamo, nadamo se da ćemo veoma brzo dobiti nove informacije.

Ovo nije prvi slučaj curenja velike količine ličnih podataka građana Srbije. Slično je bilo i 2014. godine kada su iz Agencije za privatizaciju iscureli milioni ličnih podataka građana, uključujući ime i prezime, JMBG i broj tekućeg računa.

Osim po masovnoj povredi privatnosti građana Srbije, ova dva incidenta povezuje i činjenica da je do povrede došlo “slučajno”. Pre sedam godina, lični podaci više od pet miliona građana “slučajno” su bili dostupni celom svetu na ovom URL-u: https://priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt (ovog puta, adresa je stvarna, samo više nije aktivna).

Dve “slučajnosti” zbog kojih je ozbiljno ugrožena privatnost i bezbednost građana Srbije,  možda ukazuju na neko “pravilo slučajnosti”. Sa tim “pravilom” ćemo morati na neki način da se izborimo, ako želimo da prestanemo da sami sebi pucamo u noge.

Jovan Šikanja je penetration tester i etički haker. Zainteresovan za sve oblasti informacione bezbednosti, trenutno fokusiran na testiranje bezbednosti web aplikacija. Jedan od osnivača udruženja eSigurnost. Tviter: @joshibeast.




Hakerski napad na sajt Uprave za javni dug


Kada je reč o kategoriji narušavanje informacione bezbednosti, desio se jedan slučaj iz potkategorije neovlašćenog pristupa – neovlašćena izmena i postavljanje sadržaja, kada je turska hakerska grupa Akinčilar (Jurišnici) napala je sajt Uprave za javni dug Srbije – javnidug.gov.rs. Zvanični sajt uprave je bio difejsovan, a grupa je ostavila poruku sa slikom pogrebnih sanduka, natpisom “nismo zaboravili” na turskom i brojem 8372. Napad se desio polovinom jula i predstavlja reference na rat u Bosni i Srebrenicu. Slučaj iz potkategorije računarska prevara iz avgusta ticao se sajta Kupujem-prodajem, na kome su prodavci bili na meti prevaranata, koji su se predstavljali kao navodni kupci i slali fišing poruke kako bi putem lažnih linkova kurirskih službi došli do informacija o kreditnim karticama prodavaca.

Blokiranje postavljanja i uklanjanje sadržaja sa mreža


Blokiranje i filtriranje sadržaja desilo se dva puta u pethodna tri meseca, kroz potkategoriju algoritamskog blokiranja i suspenzije sadržaja, u jednom slučaju od strane Fejsbuka, a u drugom Jutjuba. Politički karikaturista Dušan Petričić je naveo da je Fejsbuk blokirao postavljanje jedne od njegovih najnovijih karikatura zbog navodnog kršenja pravila ove društvene mreže za objavljivanje sadržaja. Petričić je poznat po kritikovanju vladajuće SNS i predsednika Srbije Aleksandra Vučića. Slučaj uklanjanja dokumentarne emisije “Junaci doba zlog: Svetlana Ražnatović – srpska majka”, o pevačicinom učešću u društvenim događajima u Srbiji sa Jutjub kanala TV N1, koja je prethodno emitovala emisiju, posebno je privukao pažnju javnosti, jer je emisija brojala skoro pola miliona pregleda. Razlog razlog uklanjanja bilo je navodno kršenje autorskih prava, a na zahtev korisnika Ceca music, čija je pevačica vlasnica.

Izmene i uklanjanje sadržaja sa zvaničnih sajtova


Nekoliko slučajeva manipulacija i propagande u digitalnom okruženju manifestovalo se kroz potkategorije izmena i uklanjanja sadržaja od javnog značaja i drugih manipulacija u digitalnom okruženju. Tako je Ministarstvo privrede promenilo dokumentaciju na sajtu nakon pitanja medija Nova ekonomija. Pitanja su se odnosila na nedavnu privatizaciju javnog vodoprivrednog preduzeća, a novinari ovog portala su otkrili da je dokumentacija o privatizaciji na sajtu izmenjena. Još jedan slučaj izmene sadržaja sa zvaničnih sajtova jeste i uklonjen oglas sa sajta Grada Beograda. Naime, nakon što je zamenik gradonačelnika Goran Vesić verbalno napao organizaciju Transparentnost Srbija povodom javnog poziva za zakup sportskih objekata u vlasništvu grada, poziv je uklonjen sa sajta.

Politički motivisani pritisci


Pritisci zbog izražavanja i aktivnosti na internetu, najčešće zabeležena kategorija povreda u monitoringu, nastavljaju se iz perioda u period, kroz razne vrste pretnji, uvreda i pritisaka zbog objavljivanja informacija. Uglavnom su žrtve pritisaka bili novinari, ali i građani i aktivisti, kao i stranačke ličnosti. Tako je lider opozicione partije Zajedno za Srbiju Nebojša Zelenović saslušan u Osnovnom javnom tužilaštvu u Šapcu zbog tvita koji je objavio 2019. godine. Zelenović je u spomenutom tvitu uporedio broj članova vladajuće Srpske napredne stranke i Socijalističke partije Srbije sa brojevima članova bivšeg Saveza komunista Srbije i Nacionalsocijalističke partije Nemačke. Slično se desilo i političkom aktivisti Milošu Adamoviću, koji je saslušan u Tužilaštvu za visoko-tehnološki kriminal zbog dva tvita iz aprila 2020. godine, pod sumnjom da je pozivao na nasilno rušenje ustavnog poretka i ugrozio bezbednost zamenika gradonačelinika Beograda Gorana Vesića.

Još jedan slučaj pritiska zbog objavljivanja informacija i ugrožavanja slobode izražavanja na internetu u radnom okruženju je tražena smena apotekarke zbog kritike vlasti na Fejsbuku. Naime, aktivisti SNS-a iz Malog Zvornika tražili su smenu lokalne apotekarke Ljiljane Smiljanić, koja na Fejsbuku često kritikuje postupke lokalne vlasti. Aktivisti SNS predali su peticiju za Ljiljaninu smenu sa radnog mesta. Istovremeno, građani Srbije pokrenuli su peticiju da Ljiljanu zaštite, a u peticiji se naglašava da su sloboda mišljenja i sloboda izbora Ustavom zagarantovana prava svakog pojedinca.

Monitoring baza SHARE Fondacije



Anka Kovačević je istraživačica SHARE Fondacije. U fokusu njenog rada su monitoring digitalnih prava i sloboda i onlajn mediji.

Čitaj još:

EU parlament za zabranu masovnog biometrijskog nadzora

Tehnologije za prepoznavanje lica kroz neselektivni nadzor javnih prostora, uključujući kontrolu granica, treba zabraniti, navodi se u izveštaju o veštačkoj inteligenciji u krivičnom pravu koji je Evropski parlament usvojio većinom glasova u utorak, 5. oktobra.

Izveštaj o veštačkoj inteligenciji u krivičnom pravu i njenoj primeni u policiji i sudstvu u krivičnim predmetima, koji je podneo bugarski EU poslanik Petar Vitanov ispred parlamentarnog Komiteta za građanske slobode, pravdu i unutrašnje poslove, između ostalog, u tački 31 traži od Evropske komisije zabranu „svake obrade biometrijskih podataka, uključujući slike lica, […] koja pretpostavlja masovni nadzor u javno dostupnim prostorima“. U izveštaju se od Komisije traži i da obustavi finansiranje istraživanja i programa koji bi mogli da rezultiraju u neselektivnom masovnom nadzoru javnih prostora.

Takođe, u tački 27 izveštaja, traži se proglašenje moratorijuma na primenu sistema za prepoznavanje lica za svrhe sprovođenja zakona, u funkciji identifikacije, izuzev isključivo za identifikaciju žrtava krivičnog dela, sve dok ne budu ispunjeni jasno definisani uslovi: (1) da su tehnički standardi u potpunosti usklađeni sa temeljnim ljudskim pravima, (2) da rezultati primene sistema nisu pristrasni i diskriminatorni, (3) da pravni okvir obezbeđuje strogu zaštitu od zloupotrebe i strogu demokratsku kontrolu, (4) da postoje empirijski dokazi neophodnosti i srazmernosti primene takvih tehnologija.

Evropski parlamentarci su usvajanjem izveštaja podržali i zahtev da algoritmi po kojima rade tehnologije sa veštačkom inteligencijom, budu otvoreni kako bi se omogućila ljudska kontrola ovakvih sistema. Ukoliko se ugradi u evropske propise, takav stav će značajno uticati na krupne tehnološke kompanije, čiji su algoritmi pretežno u domenu poslovne tajne.

Izveštaj Evropskog parlamenta nije obavezujući, ali predstavlja presudan korak u pravcu zauzdavanja neodgovorne primene rizičnih tehnologija u demokratijama. Stav EU poslanika odražava raspoloženje većine stanovnika u zemljama članicama, koji u reprezentativnim anketama pokazuju izrazito protivljenje primeni tehnologija za neselektivni, masovni biometrijski nadzor.

Visoka komesarka Ujedinjenih nacija za ljudska prava pozvala je sredinom septembra na proglašenje globalnog moratorijuma na prodaju i upotrebu naprednih tehnologija koje predstavljaju ozbiljan rizik po ljudska prava, sve dok se ne uspostave odgovarajuće zaštitne mere. Takođe je zatražila potpunu zabranu onih vrsta primene naprednih tehnologija koje nije moguće uskladiti sa međunarodnim propisima o ljudskim pravima. U junu ove godine, institucije Evropske unije zadužene za zaštitu privatnosti i ličnih podataka, zatražile su opštu zabranu upotrebe naprednih tehnologija za prepoznavanje lica u javnim prostorima zbog negativnog uticaja na slobodu govora, prava na okupljanje i udruživanje, kao i na slobodu kretanja.

Evropski poslanici će uskoro raspravljati o predlogu zakona o veštačkoj inteligenciji (AIA) koji je Evropska komisija podnela u aprilu ove godine. Mada je predlog fokusiran na rizike, umesto na prednosti novih tehnologija, propis koji bi trebalo da postane obavezan na teritoriji čitave Unije ostavlja previše prostora za legalizaciju neselektivnog masovnog nadzora i upotrebu biometrijskih tehnologija na štetu građana i demokratskog društva. Juče usvojeni izveštaj u parlamentu, mogao bi značajno uticati na dodatna ograničenja štetnih tehnologija u predloženom zakonu.



Čitaj još:

Cyberama 5: Znamo šta ste radili ovog leta


Leto na internetu je bilo uzbudljivo. Najgora noćna mora o sajber špijunaži se obistinila u vidu afere ‘Pegaz’, Apple počinje da skenira sve slike korisnika iCloud-a, talibani su preuzeli bazu biometrijskih podataka Avganistanaca koji su radili sa Amerikom, Privredna komora Srbije je ostavila otvoren server sa skeniranim dokumentima građana, a prošle nedelje je na raspravi bio novi, iznenadni zakon MUP-a koji legalizuje masovni biometrijski nadzor tj. prepoznavanje lica uz pomoć kamera širom Beograda i Srbije.

Gosti:

– Saša Dragojlo, istraživački novinar BIRN-a koji prati upotrebu špijunskih softvera od strane vlada
– Jovan Šikanja, stručnjak za sajber bezbednost koji je uzbunio na incident / propust informacionog sistema Privredne komore Srbije



Čitaj još: