Digitalna prava u Srbiji tokom leta: novo curenje podataka i politički pritisci

Novim presekom stanja ispraćene su povrede digitalnih prava u Srbiji u periodu jul-septembar. Najčešći su bili pritisci zbog izražavanja aktivnosti na internetu, ali i manipulacije i propaganda u digitalnom okruženju. Slučajevi iz kategorija povreda informacione privatnosti i zaštite podataka o ličnosti, narušavanja informacione bezbednosti, kao i blokiranja i filtriranja sadržaja, iako ne tako brojni, izazvali su posebnu pažnju u prethodnom periodu. 

Od jula do septembra 2021. godine SHARE Fondacija zabeležila je ukupno 25 povreda prava u digitalnoj sferi. U septembru i avgustu primećeno je po 8, a u julu 9 povreda prava na internetu. Najčešće žrtve povreda bili su, kao i u prethodnom periodu, građani i novinari – po 8 i 6 puta. Digitalna prava ovoga puta najviše su kršili građani, u 9 slučajeva, kao i organi vlasti, u 4 slučaja. Kateogrija pritisaka zbog izražavanja aktivnosti na internetu ubedljivo je najviše kršena, u čak 17 slučajeva, što je trend koji se nastavlja iz prethodnih perioda zabeleženih u monitoring izveštajima. Za njom slede manipulacije i propaganda u digitalnom okruženju, zabeležene 5 puta, blokiranje i filtriranje sadržaja i narušavanje informacione bezbednosti, po 2 puta i jedan slučaj povrede informacione privatnosti i zaštite podataka o ličnosti.

Značajan izazov za digitalna prava i slobode bio je pokušaj legalizacije masovnog biometrijskog video-nadzora u javnim prostorima kroz Nacrt zakona o unutrašnjim poslovima, povodom čega su reagovali SHARE Fondacija, mreža organizacija za zaštitu digitalnih prava EDRi, evroposlanici, kao i organizacije iz civilnog i medijskog sektora. Uz pritisak domaće i međunarodne javnosti, problematični nacrt je povučen iz procedure odlukom ministra unutrašnjih poslova Aleksandra Vulina, nakon konsultacija sa predsednikom Srbije, uz salvu uvreda upućenih organizacijama koje su učestvovale u javnoj raspravi i neosnovane tvrdnje u vezi sa biometrijskim nadzorom.


Ipak, najveći incident koji je zabeležen u posmatranom periodu bilo je curenje podataka sa veb aplikacije Privredne komore Srbije, što potencijalno predstavlja najveću povredu informacione privatnosti građana još od slučaja Agencije za privatizaciju. Više o tome sledi u tekstu Jovana Šikanje, koji je ukazao javnosti na ovaj propust.



PKS data breach 2021: kako je otkrivena rupa u Privrednoj komori


Nije svako masivno probijanje zaštite podataka posledica sofisticiranog sajber napada u kom “momci sa crnim kapuljačama” uspevaju da slome kompleksnu i višeslojnu zaštitu organizacije čije su sisteme napali. Ponekad je mnogo lakše od toga, ponekad se to dogodi “slučajno”.

Moj prijatelj Dušan Dželebdžić poslao mi je 25. avgusta poruku preko tvitera, da mi pokaže zapanjujuće rezultate jedne obične pretrage na Guglu. Tražio je, naime, šablon za uplatnicu i naišao na pravu – sa ličnim podacima fizičkog lica koje je izvršilo uplatu. Uplatnica se nalazila na jednoj aplikaciji u vlasništvu Privredne komore Srbije, odakle je indeksirana za pretragu.

Dušan je odmah ustanovio da je na veb serveru PKS omogućen “directory listing”, specifična serverska funkcija koja praktično otvara pristup svim fajlovima koji se čuvaju na serveru. U tom trenutku nismo znali šta se od podataka na serveru nalazi, tačnu količinu podataka koja nam je dostupna, kao ni čemu sam servis služi.

Da bih jasno predočio o čemu se radi i koliko je ova greška katastrofalna, ilustrovaću priču primerima sa izmišljenim adresama – jer ćemo stvarne URL-ove držati u tajnosti, sve dok ne budemo apsolutno sigurni da podaci više nisu dostupni.

Prvi URL koji smo pronašli izgledao je, recimo, ovako:
https://ranjiva.aplikacija.pks.rs/storage/files/pks/01-2021/uplatnica.pdf


Ako se URL modifkuje i ukloni referenca fajla:
https://ranjiva.aplikacija.pks.rs/storage/files/pks/01-2021/
pravilno podešen server poslao bi sledeći odgovor:

Međutim, ako je na serveru omogućen “directory listing”, umesto poruke o zabrani pristupa, biće prikazan spisak svih fajlova koji se nalaze u tom direktorijumu. Na primer, ovako:

Da bismo proverili šta se od podataka nalazi na serveru, kliknuli smo na nekoliko potpuno nasumičnih linkova iz raznih dostupnih direktorijuma. Prikazale su nam se skenirane lične karte, fakultetske diplome, kao i nekoliko ugovora.

Neki od direktorijuma kojima smo pokušali da pristupimo imali su u sebi toliku količinu fajlova, da je brauzer pucao u nemogućnosti da učita masu podataka.

Da stvar bude gora, svi podaci su bili dostupni bez bilo kakve autentifikacije. Drugim rečima, mogao je da im pristupi bilo ko, bilo kada.

Tačan broj fajlova u nepreglednim listama, sa ogromnim količinama podataka, nismo ustanovili, jer kad smo shvatili da se na serveru nalaze veoma osetljivi podaci, obustavili smo pretragu da ne bismo ni na koji način dalje ugrožavali privatnost građana. Fajlove kojima smo pristupili prilikom provere, uklonili smo sa svojih računara.

Daljom analizom smo ustanovili da su fajlovi kojima smo upravo pristupili zapravo spremište  veb aplikacije, gde su ulogovani korisnici kačili svoja dokumenta prilikom korišćenja raznih servisa. Čak i bez omogućene funkcije “directory listing”, koja nam je otvorila pristup velikom broju fajlova, ovakav dizajn same aplikacije je nedopustivo  neadekvatan za ovu svrhu.

Zamislite kada bi svi fajlovi koje ste slali kao prilog mejlova, privatne slike, snimci, tekstovi, bili dostupni bilo kome, bez bilo kakve autentifikacije, jer ih Gugl skladišti na URL-u https://attachments.google.com/files/01-2021/uplatnica.pdf (i ova adresa je izmišljena kao primer).

Pošto smo prikupili sve potrebne informacije, kontaktirali smo kancelariju Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Reakcija je bila munjevita. Već narednog dana, 26. avgusta, isključen je “directory listing” na serveru, da bi 27. avgusta kompletno sporno spremište fajlova uklonjeno sa lica interneta i postalo nedostupno.

Epilog cele priče još uvek ne znamo, nadamo se da ćemo veoma brzo dobiti nove informacije.

Ovo nije prvi slučaj curenja velike količine ličnih podataka građana Srbije. Slično je bilo i 2014. godine kada su iz Agencije za privatizaciju iscureli milioni ličnih podataka građana, uključujući ime i prezime, JMBG i broj tekućeg računa.

Osim po masovnoj povredi privatnosti građana Srbije, ova dva incidenta povezuje i činjenica da je do povrede došlo “slučajno”. Pre sedam godina, lični podaci više od pet miliona građana “slučajno” su bili dostupni celom svetu na ovom URL-u: https://priv.rs/upload/company/contract/BES/dump_web_prijave_10062013.txt (ovog puta, adresa je stvarna, samo više nije aktivna).

Dve “slučajnosti” zbog kojih je ozbiljno ugrožena privatnost i bezbednost građana Srbije,  možda ukazuju na neko “pravilo slučajnosti”. Sa tim “pravilom” ćemo morati na neki način da se izborimo, ako želimo da prestanemo da sami sebi pucamo u noge.

Jovan Šikanja je penetration tester i etički haker. Zainteresovan za sve oblasti informacione bezbednosti, trenutno fokusiran na testiranje bezbednosti web aplikacija. Jedan od osnivača udruženja eSigurnost. Tviter: @joshibeast.




Hakerski napad na sajt Uprave za javni dug


Kada je reč o kategoriji narušavanje informacione bezbednosti, desio se jedan slučaj iz potkategorije neovlašćenog pristupa – neovlašćena izmena i postavljanje sadržaja, kada je turska hakerska grupa Akinčilar (Jurišnici) napala je sajt Uprave za javni dug Srbije – javnidug.gov.rs. Zvanični sajt uprave je bio difejsovan, a grupa je ostavila poruku sa slikom pogrebnih sanduka, natpisom “nismo zaboravili” na turskom i brojem 8372. Napad se desio polovinom jula i predstavlja reference na rat u Bosni i Srebrenicu. Slučaj iz potkategorije računarska prevara iz avgusta ticao se sajta Kupujem-prodajem, na kome su prodavci bili na meti prevaranata, koji su se predstavljali kao navodni kupci i slali fišing poruke kako bi putem lažnih linkova kurirskih službi došli do informacija o kreditnim karticama prodavaca.

Blokiranje postavljanja i uklanjanje sadržaja sa mreža


Blokiranje i filtriranje sadržaja desilo se dva puta u pethodna tri meseca, kroz potkategoriju algoritamskog blokiranja i suspenzije sadržaja, u jednom slučaju od strane Fejsbuka, a u drugom Jutjuba. Politički karikaturista Dušan Petričić je naveo da je Fejsbuk blokirao postavljanje jedne od njegovih najnovijih karikatura zbog navodnog kršenja pravila ove društvene mreže za objavljivanje sadržaja. Petričić je poznat po kritikovanju vladajuće SNS i predsednika Srbije Aleksandra Vučića. Slučaj uklanjanja dokumentarne emisije “Junaci doba zlog: Svetlana Ražnatović – srpska majka”, o pevačicinom učešću u društvenim događajima u Srbiji sa Jutjub kanala TV N1, koja je prethodno emitovala emisiju, posebno je privukao pažnju javnosti, jer je emisija brojala skoro pola miliona pregleda. Razlog razlog uklanjanja bilo je navodno kršenje autorskih prava, a na zahtev korisnika Ceca music, čija je pevačica vlasnica.

Izmene i uklanjanje sadržaja sa zvaničnih sajtova


Nekoliko slučajeva manipulacija i propagande u digitalnom okruženju manifestovalo se kroz potkategorije izmena i uklanjanja sadržaja od javnog značaja i drugih manipulacija u digitalnom okruženju. Tako je Ministarstvo privrede promenilo dokumentaciju na sajtu nakon pitanja medija Nova ekonomija. Pitanja su se odnosila na nedavnu privatizaciju javnog vodoprivrednog preduzeća, a novinari ovog portala su otkrili da je dokumentacija o privatizaciji na sajtu izmenjena. Još jedan slučaj izmene sadržaja sa zvaničnih sajtova jeste i uklonjen oglas sa sajta Grada Beograda. Naime, nakon što je zamenik gradonačelnika Goran Vesić verbalno napao organizaciju Transparentnost Srbija povodom javnog poziva za zakup sportskih objekata u vlasništvu grada, poziv je uklonjen sa sajta.

Politički motivisani pritisci


Pritisci zbog izražavanja i aktivnosti na internetu, najčešće zabeležena kategorija povreda u monitoringu, nastavljaju se iz perioda u period, kroz razne vrste pretnji, uvreda i pritisaka zbog objavljivanja informacija. Uglavnom su žrtve pritisaka bili novinari, ali i građani i aktivisti, kao i stranačke ličnosti. Tako je lider opozicione partije Zajedno za Srbiju Nebojša Zelenović saslušan u Osnovnom javnom tužilaštvu u Šapcu zbog tvita koji je objavio 2019. godine. Zelenović je u spomenutom tvitu uporedio broj članova vladajuće Srpske napredne stranke i Socijalističke partije Srbije sa brojevima članova bivšeg Saveza komunista Srbije i Nacionalsocijalističke partije Nemačke. Slično se desilo i političkom aktivisti Milošu Adamoviću, koji je saslušan u Tužilaštvu za visoko-tehnološki kriminal zbog dva tvita iz aprila 2020. godine, pod sumnjom da je pozivao na nasilno rušenje ustavnog poretka i ugrozio bezbednost zamenika gradonačelinika Beograda Gorana Vesića.

Još jedan slučaj pritiska zbog objavljivanja informacija i ugrožavanja slobode izražavanja na internetu u radnom okruženju je tražena smena apotekarke zbog kritike vlasti na Fejsbuku. Naime, aktivisti SNS-a iz Malog Zvornika tražili su smenu lokalne apotekarke Ljiljane Smiljanić, koja na Fejsbuku često kritikuje postupke lokalne vlasti. Aktivisti SNS predali su peticiju za Ljiljaninu smenu sa radnog mesta. Istovremeno, građani Srbije pokrenuli su peticiju da Ljiljanu zaštite, a u peticiji se naglašava da su sloboda mišljenja i sloboda izbora Ustavom zagarantovana prava svakog pojedinca.

Monitoring baza SHARE Fondacije



Anka Kovačević je istraživačica SHARE Fondacije. U fokusu njenog rada su monitoring digitalnih prava i sloboda i onlajn mediji.

Čitaj još: