Web Analytics

Atentie! Declaratieppr.ro a stocat datele personale

In urma cu vreo doua zile atentionam public sa aveti grija unde introduceti datele personale in toata febra Ordonantei Militare numarul 3. Am primit cateva mesaje de multumire, altii mi-au spus ca sunt hater. Asa sunt eu, mai bulangiu si atrag atentia la potentiale pericole, sa nu calce toti in groapa de canal.

Un al treilea site, despre care nu am scris pentru ca nu era atat de popular a fost declaratieppr.ro. Un site raportat catre Bitdefender de foarte multi oameni ca facand phishing. Pe Facebook taberele s-au impartit in doua si erau promotorii site-ului care credeau pe cuvant ca nu vor fi folosite datele personale in alt scop in afara generarii .pdf-ului dar fara stocarea datelor pe server. CERT a atentionat cat a putut si a sfatuit tot timpul ca oamenii sa nu se apuce sa isi introduca datele din cartea de identitate pe toate site-urile noname aparute ci sa foloseasca canale oficiale de unde sa descarce formularul. Interesant este ca CERT a fost rezervat in declaratii zilele acestea, nespecificand in mod daca un site incalca in mod flagrant legislatia romaneasca sau nu pentru ca probabil deja au investigat siteurile si urmeaza sa recomande mai departe masurile de corectie necesare.

Inainte sa scriu articolul acesta am vrut sa precizez exact care sunt articolele de lege incalcate de catre proprietarul site-ului declaratieppr.ro, dar sunt atat de multe incat as putea face un articol numai cu extrasele din legislatie si amenzile ce pot fi aplicate.

Long story short, am vazut pe Facebook un share la siteul declaratieppr.ro. Curios din fire, am accesat site-ul care a scos intre timp aplicatia de completare a formularului si pe prima pagina se regaseste urmatorul autodenunt (!):

Documentele necesare complianței cu ORDONANȚA MILITARĂ nr. 3 din 24 martie 2020 privind măsurile de prevenire a răspândirii COVID-19 se descarcă NUMAI de pe portalul Ministerului Afacerilor Interne.

În acest sens, vă recomandăm accesarea link-ului https://www.mai.gov.ro/. Fiți informați doar din surse oficiale!

Vă mulțumim pentru înțelegere!

În ceea ce privește generatorul pentru documente, pus la dispoziție zilele trecute pe pagina http://declaratieppr.ro, Declaratieppr.ro asigură toată lumea și orice instituție abilitată că datele introduse NU AU FOST STOCATE pe vreun server și/sau PRELUCRATE în alt scop, aceste lucruri putând fi demonstrate.

Codul sursă: https://github.com/declaratieppr/website

Hai sa mai citim o data:

datele introduse NU AU FOST STOCATE pe vreun server și/sau PRELUCRATE în alt scop, aceste lucruri putând fi demonstrate.

si inca o data:

datele introduse NU AU FOST STOCATE pe vreun server și/sau PRELUCRATE în alt scop, aceste lucruri putând fi demonstrate.

Acum, nu stiu daca cel care administreaza siteul are mai mult de 14 ani dar va invata pe propria piele ce inseamna prostia. Prostia crunta!

In prima faza este laudabil faptul ca pune la dispozitie codul sursa pentru a dovedi ca nu a stocat datele personale ale vizitatorilor. Ma inclin cu respect si mi-am zis sa vad cum era construit websiteul. Pe git este sursa unui wordpress si primul lucru care mi-a sarit in ochi a fost faptul ca a pus si fisierele htaccess, error logul si wp-configul unde are userul si parola de la baza de date. Mno, am zis ca poate a vrut omul sa faca un exces de zel si sa arate ca intr-adevar pune intreg codul sursa la vedere.

Navigand prin structura de fisiere am gasit folderul wp-content arhivat. De regula in acest folder se regasesc fisierele temei WordPress, pluginurile si fisierele media incarcate. Dar regula de aur in dezvoltare web este sa nu incarci fisierele cu credentiale, error logul si fisierele media pe .git; primele din ratiuni de securitate iar fisierele media pentru ca pot sa ocupe mult spatiu si pe git de regula ai 1 GB.

In arhiva wp-content.rar am gasit, cum ma asteptam, fisierele temelor, fisierele pluginurilor si folderul /upload/ ce continea cateva imagini de cand a fost incarcat logo-ul de catre dezvoltatorul aplicatiei web, dar si o multime de fisiere avand extensia .pdf si .csv.

Ma intorc si mai citesc o data autodenuntul de pe site-ul declaratieppr.ro: datele introduse NU AU FOST STOCATE pe vreun server și/sau PRELUCRATE în alt scop, aceste lucruri putând fi demonstrate.

Iata ca in folderul /wp-content/uploads/2020/03 se regasesc nu mai putin de 58 fisiere generate la completarea datelor personale, in format .csv si .pdf

La ora scrierii acestui articol, utilizatorul platformei pe care a fost incarcat codul sursa avea contul creat de 15 ore. In urma cu 14 ore a incarcat prin interfata web codul sursa al site-ului, fara sa tina cont de continutul cu caracter personal pe care l-a facut public. Mai mult, datele sunt publice chiar pe site!

Kinderii astia prind curaj pentru ca isi cumpara domenii web la kilogram ascunsi sub anonimatul oferit de catre RoTLD atunci cand cumpara drept persoana fizica, apoi profita de firma de gazduire ca nu intervine asupra continutului siteului web si rareori actioneaza atunci cand utilizatorii raporteaza caracterul ilegal al unui site (in cazul de fata vorbim de compania de gazduire mxhost) iar ANCOM se misca foarte greu fiind birocratie multa sa poata interveni asupra disponibilitatii unui site si prefera sa blocheze siteuri necitite de fake news in loc sa blocheze siteurile ce desfasoara activitati ilegale.

Este un mix perfect la prima vedere. Dar cu cat kinderii au mai multa incredere in ei, cu atat gresesc mai mult. Domeniul ala sigur nu a fost cumparat cu bitcoin, mxhost sigur are adresa IP de unde s-a conectat pe server si in contul de client, ISP-ul poate sa conserve traficul pe ultimele luni ale acelei adrese IP iar asta sigur nu a folosit conexiuni VPN conectat la un router public in Cismigiu de pe un laptop luat din Autovit. Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal urmeaza mai mult ca sigur sa identifice personajul care tocmai a facut publice datele personale ale utilizatorilor ce au completat formularul de pe site-ul declaratieppr.ro.

Mai greu va fi sa reactioneze github la rapoartele inaintate, astfel incat sa stearga fisierele respective.

Site-uri si povesti precum ce a lui declaratieppr.ro fac ca oamenii sa fie suspiciosi atunci cand vine un bun samaritean si ofera servicii ce nu pot fi verificate. Chiar ieri citeam cateva comentarii de la un articol, unde utilizatorii cereau sa vada codul sursa al unui site tocmai pentru ca nu aveau incredere ca datele introduse vor fi folosite in scopul declarat.

Mai citam o data dintr-un clasic: datele introduse NU AU FOST STOCATE pe vreun server și/sau PRELUCRATE în alt scop, aceste lucruri putând fi demonstrate. NOT!

Daca intr-adevar chiar doriti un generator online pentru declaratia pe propria raspundere sau pentru cea din partea angajatorului, puteti folosi cu incredere aplicatia formular.sts.ro pusa la dispozitie de catre Binovate (cei care utilizau carantina.me)

#StaySafe

Subiecte:

Ganduri rele
Exclusiv

  1. Sa imi bag piciorul daca mail completez vreun formular pe net …

  2. Intre timp a sters tot contentul de pe github dar se pare ca nu stie ca toate fisierele raman in branchul removed 🙂

  3. […] să facă site-urile acelea care acum sunt blamate (și sunt blamate pe bună dreptate, ia uite AICI ditai data […]

    • Ce naiba? Păi normal ca suflu si in iaurt data viitoare atata timp cat pe internet e legea junglei. Autoritatea si ANCOM ar fi trebuit să acționeze instant, firma de hosting ar fi trebuit să se autosesizeze si sa oprească siteul in secunda doi

  4. […] Sunt vremuri dificile dar unii continua sa nu tina cont nici de moralitate nici de legalitate asa ca aveti mare grija pe unde va lasati datele personale zilele acestea. Cristian Iosum ne semnaleaza o astfel de ilegalitate. […]

    Cristian Iosub