Jump to content
ehd

Ce faci daca datele tale personale sunt expuse prin sqli?

Recommended Posts

Posted

Exista o lege care obliga cei care detin site-uri sa securizeze datele din baza de date? Ieri m-a contactat un prieten ca mi-a gasit datele nr. tel, cnp, nr. carte verde, adresa tot pe un site de turism, acum eu ce sa fac , nu fac nimic prietenul se pricepe la sqli si altele dar nu cred ca altcineva va putea accesa acea baza de date nu?

Nu a folosit programe a tastat chestia aia cu union in browser si dupa cateva incercari a afisat si numele meu.

I-am zis ca nu are voie sa faca asta pentru ca este ilegal, si el mi-a raspuns ca ilegal este insecurizarea site-ului.

Ce sa cred conform legii?

Posted

normal nu ai voie sa accesezi acele date indiferent de securitatea siteului.e ca si cum cineva intra la tine in casa daca ai lasat usa neincuiata (si daca e larg deschisa nu are voie sa treaca pragul ei pe motiv ca e deschis).legat de accesarea datelor de catre alte persoane poate a mai fost accesata sau va fi accesata (daca este o agentie cunoscuta sau daca are un dork uzual totul e posibil)

Posted (edited)

Problemele de securitate sunt recunoscute la nivel international si de firme ca google prin programe gen bug bounty, cine este acest prieten care a decis sa reinventeze internetul cu ce a visat el in timpul noptii?

Edited by eusimplu
Posted

D.p.d.v. legal nu este vina site-ului ca nu a fost securizat. Este vina prietenului tau.

In majoritatea cazurilor cei care fac site-uri fie uita sa filtreze datele de intrare fie nu o fac fiindca nu stiu ca asta ajuta la securizare. In orice caz, cel care face site-ul nu il face vulnerabil in mod intentionat.

Vinovat este cel care gaseste o vulnerabilitate si o exploateaza.

Posted (edited)

Am discutat cu un avocat si legea se pare ca este de partea lui... nu cum ziceti voi:

Legea 676/2001 privind prelucrarea datelor cu caracter personal: Legi internet

Expunerea datelor neintentionata private este o infractiune grava si detinatorii site-urilor sunt obligati de lege sa protejeze aceste date. Un site din Cluj a platit anul trecut 50.000 lei amenda pentru sqli si refuzul securizarii dupa instintarea autoritatilor din domeniul telecomunicatiilor.

Edited by ehd
Posted (edited)

Exista niste masuri minime de securitate(Art. 3 alin. 3) care sunt enumerate aici: http://www.legi-internet.ro/legislatie-itc/date-cu-caracter-personal/ordinul-522002-privind-aprobarea-cerintelor-minime-de-securitate-a-prelucrarilor-de-date-cu-caracter-personal.html

Reguli care nu fac referire la penetrarea/exploatarea sistemului. E vorba de niste reguli simple care oricum daca ar fi respectate nu ar preveni SQLI-ul si atata timp cat acele reguli sunt respectate, nu exista motiv pentru care detinatorul site-ului sa fie tras la raspundere.

Ideea e ca situatia e destul de intuitiva. Site-ul a pierdut acele date nu din cauza unor greseli minore(considerate la nivel juridic si nu tehnic), ci din cauza ca a fost exploatat.

Sunt de acord ca trebuie acordata mai multa atentie cand stochezi date cu caracter personal. Insa daca site-ul respectiv a respectat procedura(simpla) expusa mai sus, nu poate fi tras la raspundere. El a aplicat reteta scrisa in lege.

Un site din Cluj a platit anul trecut 50.000 lei amenda pentru sqli si refuzul securizarii dupa instintarea autoritatilor din domeniul telecomunicatiilor.

Daca exista o afirmatie, trebuie sa existe si un numar de dosar care poate fi verificat pe portalul instantelor de judecata. Nu?

Sunt curios sa-l aflu.

Edited by crs12decoder
Posted

Stai linistit , ca nu cred ca intereseaza pe cineva datele alea.Orice pusti poate folosi Havij, un dork si da peste zeci si sute de site-uri si fel si fel de informatii.Sunt expuse milioane de date personale ale userilor.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...