Ce faci daca datele tale personale sunt expuse prin sqli?

[ehd]

Exista o lege care obliga cei care detin site-uri sa securizeze datele din baza de date? Ieri m-a contactat un prieten ca mi-a gasit datele nr. tel, cnp, nr. carte verde, adresa tot pe un site de turism, acum eu ce sa fac , nu fac nimic prietenul se pricepe la sqli si altele dar nu cred ca altcineva va putea accesa acea baza de date nu?

Nu a folosit programe a tastat chestia aia cu union in browser si dupa cateva incercari a afisat si numele meu.

I-am zis ca nu are voie sa faca asta pentru ca este ilegal, si el mi-a raspuns ca ilegal este insecurizarea site-ului.

Ce sa cred conform legii?

[Renegade]

normal nu ai voie sa accesezi acele date indiferent de securitatea siteului.e ca si cum cineva intra la tine in casa daca ai lasat usa neincuiata (si daca e larg deschisa nu are voie sa treaca pragul ei pe motiv ca e deschis).legat de accesarea datelor de catre alte persoane poate a mai fost accesata sau va fi accesata (daca este o agentie cunoscuta sau daca are un dork uzual totul e posibil)

[eusimplu]

Problemele de securitate sunt recunoscute la nivel international si de firme ca google prin programe gen bug bounty, cine este acest prieten care a decis sa reinventeze internetul cu ce a visat el in timpul noptii?

Edited August 5, 2013 by eusimplu

[crs12decoder]

D.p.d.v. legal nu este vina site-ului ca nu a fost securizat. Este vina prietenului tau.

In majoritatea cazurilor cei care fac site-uri fie uita sa filtreze datele de intrare fie nu o fac fiindca nu stiu ca asta ajuta la securizare. In orice caz, cel care face site-ul nu il face vulnerabil in mod intentionat.

Vinovat este cel care gaseste o vulnerabilitate si o exploateaza.

[ehd]

Am discutat cu un avocat si legea se pare ca este de partea lui... nu cum ziceti voi:

Legea 676/2001 privind prelucrarea datelor cu caracter personal: Legi internet

Expunerea datelor neintentionata private este o infractiune grava si detinatorii site-urilor sunt obligati de lege sa protejeze aceste date. Un site din Cluj a platit anul trecut 50.000 lei amenda pentru sqli si refuzul securizarii dupa instintarea autoritatilor din domeniul telecomunicatiilor.

Edited August 8, 2013 by ehd

[crs12decoder]

Exista niste masuri minime de securitate(Art. 3 alin. 3) care sunt enumerate aici: http://www.legi-internet.ro/legislatie-itc/date-cu-caracter-personal/ordinul-522002-privind-aprobarea-cerintelor-minime-de-securitate-a-prelucrarilor-de-date-cu-caracter-personal.html

Reguli care nu fac referire la penetrarea/exploatarea sistemului. E vorba de niste reguli simple care oricum daca ar fi respectate nu ar preveni SQLI-ul si atata timp cat acele reguli sunt respectate, nu exista motiv pentru care detinatorul site-ului sa fie tras la raspundere.

Ideea e ca situatia e destul de intuitiva. Site-ul a pierdut acele date nu din cauza unor greseli minore(considerate la nivel juridic si nu tehnic), ci din cauza ca a fost exploatat.

Sunt de acord ca trebuie acordata mai multa atentie cand stochezi date cu caracter personal. Insa daca site-ul respectiv a respectat procedura(simpla) expusa mai sus, nu poate fi tras la raspundere. El a aplicat reteta scrisa in lege.

Un site din Cluj a platit anul trecut 50.000 lei amenda pentru sqli si refuzul securizarii dupa instintarea autoritatilor din domeniul telecomunicatiilor.

Daca exista o afirmatie, trebuie sa existe si un numar de dosar care poate fi verificat pe portalul instantelor de judecata. Nu?

Sunt curios sa-l aflu.

Edited August 8, 2013 by crs12decoder

[bodostyle]

Stai linistit , ca nu cred ca intereseaza pe cineva datele alea.Orice pusti poate folosi Havij, un dork si da peste zeci si sute de site-uri si fel si fel de informatii.Sunt expuse milioane de date personale ale userilor.