Večernji list otkrio je nevjerojatan sigurnosni propust čije posljedice će se tek vidjeti. Naime, procurilo je 2,444.587 zapisa o vozilima 1,195.052 fizičkih osoba koje uključuje imena, adrese, OIB-ove i JMBG-ove, datume rođenja, kao i registracije te ostale podatke o vozilima i njihovim policama osiguranja.
Ovaj opasan sigurnosni propust koji je prijavljen i Sigurnosno-obavještajnoj agenciji (SOA), za Večernji TV komentirao je ugledni stručnjak za sigurnost Đuro Lubura u emisiji koju je vodila Petra Balija.
– Velik je to propust. Problem je, svakako jest. Riječ je o velikom skupu podataka – kazao je stručnjak o curenju podataka.
– Istina je. Bazu podataka ima i drži MUP. Međutim, nisu jedini koji oni imaju pristup. Osobno ne vjerujem da je baza procurila iz MUP-a. Pristup podacima ima Centar za vozila i Hrvatski ured za osiguranje. Centar za vozila Hrvatske nema, odnosno mislim da nema pristup cjelokupnoj bazi podataka. Oni prilikom registracije vozila ili prilikom potrebe za informacijom o registriranom vlasniku vozila šalju upit MUP-u i zatim dobivaju odgovor – ustvrdio je vještak i ustvrdio kako oni nemaju mogućnost imati cijelu bazu podataka.
– Osim MUP-a, pristup cijeloj bazi podataka ima jedino Hrvatski ured za osiguranje. Oni imaju pravo na te podatke na temelju zakona i MUP ih njima dostavlja u fizičkom obliku. Dakle, osoba od povjerenja Hrvatskog ureda za osiguranje, odnosno njihov teklič, ide redovito u MUP i dobije njihovu bazu u fizičkom obliku.Također, prema podacima koje imam i koji su iscurili, ima podataka koje nema ni MUP ni Centar za vozila Hrvatske. Tako da, čini mi se da se ovdje ne radi o kibernetičkoj ugrozi i da je netko probio u bazu podataka, već je netko tko je inače ovlašten za tu bazu podataka nesavjesno raspolagao njome To će se vrlo jednostavno utvrditi – smatra stručnjak.
Uvjeren je kako će se identitet odgovorne osobne znati nakon što tijela kaznenog progona obave razgovore sa svima s kojima treba obaviti razgovore.
Na pitanje što on misli, odakle je procurila ta baza podataka, kazao je: – Ne mogu znati odakle je ona procurila. Ali da je došlo do proboja informacijskog sustava MUP-a, to bi se znalo. Ali to je izuzetno malo vjerojatno. Radio sam u MUP-u i upoznat sam s njihovim radom, te nije to tako lako izvesti.
– Ti podaci koji su procurili u javnost sadrže informacije koje MUP uopće nema. Među tim su podacima informacije koje ima MUP, ali tu su i informacije koje uopće nema – kazao je Lubura. Naglasio je da Ministarstvo unutarnjih poslova nema podatke o isteku osiguranja te da "ta priča dolazi iz osiguravateljskih krugova".
– Njima su ti podaci potrebni. Dakle, kad bih morao nagađati, rekao bih da je to došlo iz osiguravateljskih krugova. Ne iz Centra za vozila Hrvatska koji tu bazu nema niti joj može pristupiti niti iz MUP-a jer nemaju sve te podatke. To je moja pretpostavka za sada.
Na pitanje je li prema njegovu mišljenju došlo do ugroze informatičkog sustava, Lubura je kazao da nije tako. – Nije došlo do ugroze informatičkog sustava, nego je riječ o povredi procedura kod onih pravnih osoba koje imaju zakonsku ovlast raspolaganja tim podacima.
Lubura, govoreći o tome kome je vrijedna ta baza podataka, navodi kako je vrijedna svim osiguravateljima. Ustvrdio je kako je bilo slučajeva da se Hrvatima javljaju osiguravateljska društva i podsjećaju ih na osiguranje iako, primjerice, nisu njihovi klijenti.
– Mislim da bi se trebala uključiti Agencija za zaštitu osobnih podataka, ali i HANFA. Oni bi trebali utvrditi što se dogodilo i da se to ne ponovi. A što se tiče ovoga, ako su ti podaci vani, onda se ne može ništa napraviti. Treba nešto naučiti iz ovoga. Oni koji su odgovorni trebaju za to odgovarati.
S obzirom na to da su procurili ime, prezime, OIB i adresa, Lubura ističe da kriminalci mogu dosta s time napraviti. – Nema tu dovoljno podataka da bi netko mogao kupiti mobitel na vaše ime ili da bi mogli dići kredit u vaše ime. Dio podataka javno je dostupan. Ne želim umanjiti problem koji može nastati, ali neće nastati neka prevelika katastrofa.
Što se tiče vrijednosti podataka, sudski vještak misli kako su komercijalno vrjedniji podaci o tome tko vozi koji automobil i kad mu ističe osiguranje nego podaci poput imena, prezimena i OIB-a. – Rekao bih da je to velika vrijednost, jer da je mala, nitko se ne bi trudio doći do toga. Ovo je očito zanimljivo jednom krugu ljudi koji imaju korist, jer inače ne bi činili kazneno djelo.
Emisiju možete pratiti na svim platformama Večernjeg lista.
Božinović: Curenje podataka svih vlasnika vozila u RH nije bilo javno, to nije klasični hakerski napad
Ministar unutarnjih poslova Davor Božinović dao je ovog ponedjeljka izjave za medije na temu curenja informacija o svim vlasnicima registriranih vozila u Hrvatskoj, o čemu je prvi pisao Večernji list. Božinović je potvrdio kako je Sigurnosno-obavještajna agencija (SOA) u četvrtak obavijestila policiju o tom slučaju, nakon čega je policija intenzivno krenula s izvidima.
– Ono što do sada nije potvrđeno jest da se radi o curenju podataka koji su na internetu dostupni. Radi se o setu podataka koji su dodatni uz ono što radi MUP. Tu ima podataka koje MUP ne prikuplja, što upućuje na to da je to djelo došlo u nekoj od institucija koja ima pravo koristiti se podacima MUP-a. Ponavljam, bitno je da u javnom prostoru nema tih podataka. Ne možemo govoriti o klasičnom hakerskom napadu jer je očito da to nije bio neovlašten pristup bazama – kazao je.
– To je na nekom mediju, pretpostavljamo USB sticku, i zato se nije proširilo, a na policiji je da dozna tko sve ima pristup tim bazama podataka i da se nađe počinitelj. AZOP nadzire korištenje i zloporabu podataka i uvjeren sam da ćemo zajedničkim radom doći do odgovara – poručio je.
Podaci koji su ukradeni vrlo lako se mogu koristiti tj sasvim su dovoljni da se ukrade indentitet. Ostavke bi masovno trebale letjeti u MUPu i ministarstvu. ALI, kao sve do sada: NITKO ne ce uzeti odgovornost te ce reci da se nije moglo sprijeciti itd itd itd itd.