Ministerstwo, którego jedną z ról jest koordynowanie działań w zakresie zwalczania spamu, samo nie przestrzegało podstawowych zasad ochrony danych osobowych prenumeratorów swojego biuletynu informacyjnego przed spamerami. Strona nadal nie spełnia podstawowych zasad informacyjnych, a proces rejestracji jest daleki od przyjętych standardów.
Rażącego uchybienia dopuszczono się na stronach Ministerstwa Transportu i Budownictwa (MTiB). Przez kilka dni, wśród internautów krążył adres URL do listy z adresami e-mail oraz nazwiskami subskrybentów biuletynu informacyjnego MTiB.
Strona z listą prenumeratorów nie była dostępna bezpośrednio z głównej części serwisu MTiB, ale dostęp do wyciągu z tej bazy nie był również w żaden sposób zabezpieczony.
Po ujawnieniu odpowiedniego adresu w Sieci (co dosyć nieodpowiedzialnie zrobiono na kilku serwisach oraz blogach, kiedy jeszcze spamerzy mogli skorzystać z udostępnionej bazy) każdy mógł sobie wejść pod wskazany URL i przeglądać dane (e-mail oraz nazwiska) ponad czterech tysięcy prenumeratorów.
Wczoraj rano wysłaliśmy na kilka adresów ministerstwa, m.in. webmastera, redaktora naczelnego portalu oraz Departamentu Telekomunikacji list, w którym poinformowaliśmy o sytuacji. Co ciekawe, e-mail wysłany na adres webmastera został odrzucony przez serwer ministerstwa.
Strona z opisywanymi danymi zniknęła z sieci dopiero dziś, kilkadziesiąt minut temu. No cóż, adres URL z listą subskrybentów ujawniono prawdopodobnie akurat podczas długiego weekendu, co może tłumaczyć opóźnienie w reakcji. Nie tłumaczy to jednak faktu, że osoba lub firma przygotowująca ten serwis nie zadbała od razu o odpowiednie zabezpieczenie tej bazy. Spamerzy zwykle nie robią sobie dłuższych urlopów i korzystają z każdej okazji by powiększać swoje bazy.
Co ciekawe, strona MTiB, gdzie prowadzone są zapisy na listę biuletynu informacyjnego również odbiega od przyjętych w sieci standardów. Po pierwsze brak tam jakiejkolwiek informacji o polityce prywatności realizowanej przez serwis internetowy ministerstwa. Nie mamy zatem żadnego pojęcia, co stanie się z naszymi danymi, które tam pozostawimy.
Druga sprawa to proces rejestracji - do bazy można dodać jakikolwiek, przypadkowy adres e-mail. System nie wysyła żadnej informacji o dodaniu adresu na listę, nie wspominając o systemie double-opt-in, w którym wymagane jest potwierdzenie zapisania się na listę. Zatem mamy tu przypadek także raju dla dowcipnisiów i prowokatorów.
Rażącego uchybienia dopuszczono się na stronach Ministerstwa Transportu i Budownictwa (MTiB). Przez kilka dni, wśród internautów krążył adres URL do listy z adresami e-mail oraz nazwiskami subskrybentów biuletynu informacyjnego MTiB.
Strona z listą prenumeratorów nie była dostępna bezpośrednio z głównej części serwisu MTiB, ale dostęp do wyciągu z tej bazy nie był również w żaden sposób zabezpieczony.
Po ujawnieniu odpowiedniego adresu w Sieci (co dosyć nieodpowiedzialnie zrobiono na kilku serwisach oraz blogach, kiedy jeszcze spamerzy mogli skorzystać z udostępnionej bazy) każdy mógł sobie wejść pod wskazany URL i przeglądać dane (e-mail oraz nazwiska) ponad czterech tysięcy prenumeratorów.
Wczoraj rano wysłaliśmy na kilka adresów ministerstwa, m.in. webmastera, redaktora naczelnego portalu oraz Departamentu Telekomunikacji list, w którym poinformowaliśmy o sytuacji. Co ciekawe, e-mail wysłany na adres webmastera został odrzucony przez serwer ministerstwa.
Strona z opisywanymi danymi zniknęła z sieci dopiero dziś, kilkadziesiąt minut temu. No cóż, adres URL z listą subskrybentów ujawniono prawdopodobnie akurat podczas długiego weekendu, co może tłumaczyć opóźnienie w reakcji. Nie tłumaczy to jednak faktu, że osoba lub firma przygotowująca ten serwis nie zadbała od razu o odpowiednie zabezpieczenie tej bazy. Spamerzy zwykle nie robią sobie dłuższych urlopów i korzystają z każdej okazji by powiększać swoje bazy.
Co ciekawe, strona MTiB, gdzie prowadzone są zapisy na listę biuletynu informacyjnego również odbiega od przyjętych w sieci standardów. Po pierwsze brak tam jakiejkolwiek informacji o polityce prywatności realizowanej przez serwis internetowy ministerstwa. Nie mamy zatem żadnego pojęcia, co stanie się z naszymi danymi, które tam pozostawimy.
Druga sprawa to proces rejestracji - do bazy można dodać jakikolwiek, przypadkowy adres e-mail. System nie wysyła żadnej informacji o dodaniu adresu na listę, nie wspominając o systemie double-opt-in, w którym wymagane jest potwierdzenie zapisania się na listę. Zatem mamy tu przypadek także raju dla dowcipnisiów i prowokatorów.