Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

E-talona lietotāju deanonimizācija izmantojot RD publiskotos datus

Kategorija: e-talons + Incidenti + Personas dati

Šis ir turpinājums diskusijai par Rīgas domes rīcību, publicējot pseidonimizētus e-talona reģistrācijas datus.

LU doktorantūras studenti Artūrs Lavrenovs un Kārlis Podiņš (CERT.LV) papētīja publicētos datus sīkāk un pētījuma rezultātus aprakstīja zinātniskā publikācijā:

Presented research demonstrates that currently used way of publishing open data containing public transport rides violates privacy of public transport users in Riga. Claimed protection of user privacy by encryption turned out to be only combination of 2 simple mathematical operations and allowed us to gain data set of real e-talons ticketID for all the registered rides of January 2016. We have provided recommendations for system owner to fix this issue. We have demonstrated deanonymization and boarding stop identification attacks, theorised about multiple other attack types. Results also raise question about security of the original stored data which contains much more personal information.

Izrādās, ka publicētais e-talona identifikators nav pseidonimizēts, bet “sašifrēts” izmantojot triviāli atšifrējamu metodi.

CERT.LV organizētā semināra “Esi drošs” jautājumu sesijā drošības pētnieks Kirils Solovjovs atklāja, ka tīmeklī eksistē pakalpojums, kur, zinot personalizētā e-talona identifikatoru, iespējams noskaidrot personas vārdu. Gala rezultāts ir tāds, ka principā Rīgas dome ir publiskojusi personas datus. Tagad tikai jautājums, kā par to rīkosies Datu valsts inspekcija.

Avoti:
AIEEE workshop: http://aieee.vgtu.lt/index.php/2016/index/pages/view/Workshop_Program
IEEE.org: http://ieeexplore.ieee.org/document/7821808/ [pielikums]
CERT.LV: https://youtu.be/h1y1W8zmlGs?t=527

Tagged: » » »

2017-01-27  »  edgars

  1. mhm
    27 January 2017 @ 22:26

    DVI – viņi nerīkosies, viņi nesaprot.

  2. Andron Mc
    28 January 2017 @ 14:10

    DVI dungos “can’t touch this!”
    Viņi labāk drāzīs mazos uzņēmējus par sīkumiem.
    Bet vispār jau… a kāda man huļi starpība kur kas ar to e-tamponu redzams?
    Random maršrutu braukātājiem pohuj, standarta maršrutu braucējiem tāpat. Ko no tiem datiem var izsecināt? Ka Jānis Zariņš 3dien saslima un nebrauca uz darbu?
    Vai Pēteris Krūmiņš 1dien bija pohains un uz darbu aizbrauca tikai 12:00?

  3. HuljiGans
    30 January 2017 @ 16:55

    DVI !? Ko viņi šeit var izdarīt???

    Datubāze reģistrēta? Jā. Dati pieejami atklātā veidā? Nē. Vai tika piemēroti aizsardzības pasākumi? Jā. Dati tika šifrēti? Jā. Likumdošanā norādīts šifrēšanas mehanisms? Nē. Kurš ir vainīgs ka dati palika pieejami visiem? Tie gudrinieki, kuri publiskoja kā piekļūt datiem t.i. LU studenti, no kuriem viens CERT.LV darbinieks… Tātad, CERT.LV ne tikai sargā, bet arī lauž, provocē un izseko un Rīgas domei ir visas tiesības griezties tiesā ar sūdzību… Tā ir realitāte… Laiks pamosties ;)

    Loģiski taču:
    Ja es visiem izstāstīšu, kā piekļūt pie SEB bankas klientu datiem, kurš būs vainīgs? SEB banka, ka pienācīgi neaizsargāja datus vai es ka publiskoju šādu informāciju???

  4. jonis
    3 February 2017 @ 11:04

    Atļaušos piezīmēt: kodēšana nav šifrēšana, un šajā gadījumā ir izmantota kodēšana, nevis šifrēšana.

    https://danielmiessler.com/study/encoding-encryption-hashing-obfuscation

  5. Eks
    7 March 2017 @ 11:15

    DVI nekodīs RD. Kaut visi dati noplūdīs, tikai pirkstu pakratīs. RS kā RD barotava, jūt savu nesodāmību un izmantos savu varu pa pilnam. Vienīgā iespēja ir nelietot viņu kartes ar personalizētajiem datiem.

Re: E-talona lietotāju deanonimizācija izmantojot RD publiskotos datus







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>