Zasigurno su nam svima nama pune uši svakodnevnih upozorenja da je više nego ikad potrebno voditi brigu o kibernetičkoj sigurnosti, sigurnosti vlastitih sustava i aplikacija te poslovnih tajni i osobnih podataka u njima. I jasno nam je, dobro je, čuli smo, znamo, ne moraš mi sto puta govoriti ;-)

Tako su vjerojatno razmišljali i u finskom nacionalnom golf savezu pri izradi aplikacije za golfere.

Izradili su aplikaciju koja bi golf igračima mogla biti vrlo korisna, ali su zaboravili na osnove sigurnosne higijene.

Zamislili su prijavu u aplikaciju na način da korisnik unosi samo svoju člansku oznaku, koja se sastoji od 4-znamenkastog članskog broja, inicijala i godine rođenja.

Pri tom se članska oznaka nalazi u registru članova svih golf klubova u nacionalnom savezu.

Ups..k tome nisu predvidjeli da se omogući i 2FA autentifikacija korisnika aplikacije.

Jasno je da je ovakva logika definiranja pristupnih šifri skroz prozirna, potpuno predvidiva.

Ne samo admini članstva u savezu ili u klubovima, već i sami članovi golf klubova lako su mogli prepoznati „kompleksan algoritam“ generiranja lozinki.

Ako znamo da u svakom klubu kao udruzi članovi kluba mogu imati pristup popisu članova istog kluba, tako je lako doći do članske oznake i ući u tuđi profil u aplikaciji.

Nije velika zajednica golf igrača, međusobno se poznaju, druže, vjerojatno i rođendane slave zajedno…

Možemo samo reći da je dobro za golf savez da ih je netko prijavio i da je nadzorno tijelo reagiralo, nego da su sadržaj baza podataka iz aplikacije pronašli na Dark webu.

U najmanju ruku morali su osigurati u proceduri inicijalne prijave korisnika aplikacije da samostalno odredi lozinku i da aktivira 2FA, bez čega je uopće ne bi mogao koristiti.

Možda nekome pomogne ovaj slučaj:

https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/955/2023&mtc=today

Image by pikisuperstar on Freepik

#gdprcroatia