Na novej somálskej webovej stránke o elektronických vízach chýbajú riadne bezpečnostné protokoly, ktoré by mohli zneužiť hanební aktéri, ktorí chcú stiahnuť tisíce elektronických víz obsahujúcich citlivé informácie vrátane podrobností o pasoch jednotlivcov, celých mien a dátumov narodenia.
Al-Džazíra tento týždeň potvrdila zraniteľnosť systému na základe tipu od zdroja, ktorý má skúsenosti s vývojom webu.
Odporúčané príbehy
zoznam 3 položiekkoniec zoznamu
Zdroj poskytol Al-Džazíre informácie o údajoch o ohrození, ako aj dôkazy, že minulý týždeň predložili svoje obavy somálskym orgánom, aby ich upozornili na zraniteľnosť.
Zdroj uviedol, že napriek ich úsiliu úrady nedostali žiadnu odpoveď a problém nebol vyriešený.
„Porušenia týkajúce sa citlivých osobných údajov sú obzvlášť nebezpečné, pretože vystavujú ľudí riziku rôznych škôd vrátane krádeže identity, podvodov a zhromažďovania informácií zo strany zlomyseľných aktérov,“ povedala pre Al Jazeera Bridget Andere, senior analytička v skupine pre digitálne práva Access Now.
Táto nová bezpečnostná slabina prichádza mesiac po tom, čo úradníci uviedli, že začali vyšetrovanie po tom, čo hackeri narušili platformu elektronických víz v krajine.
Tento týždeň sa Al-Džazíre podarilo zopakovať zraniteľnosť identifikovanú naším zdrojom.
V krátkom čase sme si mohli stiahnuť e-víza obsahujúce citlivé informácie od desiatok ľudí. To zahŕňalo osobné údaje ľudí zo Somálska, Portugalska, Švédska, Spojených štátov a Švajčiarska.
Al-Džazíra poslala otázky somálskej vláde a upozornila ich na systémovú chybu, no nedostala odpoveď.
„Vládny tlak na zavedenie systému elektronických víz napriek zjavnej nepripravenosti na potenciálne riziká a jeho opätovné nasadenie po vážnom porušení údajov je jasným príkladom toho, ako môže ignorovanie obáv a práv ľudí pri zavádzaní digitálnych infraštruktúr narušiť dôveru verejnosti a vytvoriť zraniteľné miesta, ktorým sa dá vyhnúť,“ povedal Andere.
„Je tiež alarmujúce, že somálske úrady nevydali žiadne formálne oznámenie o tomto (novembrovom) závažnom porušení údajov.“
„V takýchto situáciách somálsky zákon o ochrane údajov nariaďuje správcom údajov, aby informovali orgán na ochranu údajov a vo vysoko rizikových kontextoch, ako je tento incident, aj dotknutým jednotlivcom,“ dodal Andere.
„V tomto prípade by sa mala uplatňovať dodatočná ochrana, pretože zahŕňa ľudí rôznych národností, a teda viacerých právnych jurisdikcií.“
Al-Džazíra nemôže prezradiť technické podrobnosti o porušení, pretože zraniteľnosť ešte nebola opravená, takže jej zverejnenie by mohlo hackerom poskytnúť dostatok informácií na replikáciu úniku.
Všetky citlivé informácie, ktoré Al-Džazíra získala v rámci tohto vyšetrovania, boli zničené, aby sa zabezpečilo súkromie dotknutých osôb.
Predchádzajúce porušenie
Minulý mesiac vláda USA a Spojeného kráľovstva poslala varovanie pred únikom údajov o viac ako 35 000 ľuďoch, ktorí požiadali o elektronické vízum do Somálska.
„Únikové údaje z porušenia obsahovali mená žiadateľov o víza, fotografie, dátumy a miesta narodenia, e-mailové adresy, rodinný stav a adresy bydliska,“ uviedlo v tom čase americké veľvyslanectvo v Somálsku.
V reakcii na toto porušenie údajov somálska agentúra pre prisťahovalectvo a občianstvo (ICA) zmenila svoju webovú stránku elektronických víz na novú doménu v snahe zvýšiť bezpečnosť.
Imigračná agentúra 16. novembra uviedla, že sa tejto otázke venuje „mimoriadne dôležité“ a oznámila, že začala vyšetrovanie tejto záležitosti.
Začiatkom toho týždňa somálsky minister obrany Ahmed Moalim Fiqi chválil systém elektronických víz a tvrdil, že úspešne zabránil bojovníkom ISIL (ISIS) vstúpiť do krajiny, keďže v severných regiónoch pokračovala niekoľkomesačná bitka proti miestnej pobočke skupiny.
Andere z Access Now zdôraznil, že vlády sa často ponáhľajú s implementáciou systémov elektronických víz, čo často vedie k neistým situáciám.
Dodala, že pre ľudí je ťažké chrániť sa pred takýmto typom narušenia údajov.
„Úvahy o ochrane údajov a kybernetickej bezpečnosti sú často prvé, ktoré sa ignorujú,“ povedala. „Je ťažké presunúť bremeno na ľudí, pretože údaje, ktoré poskytli, sú potrebné pre konkrétny proces.“
