U javnost procurili podaci o zviždačima s Facewatcha

Po uzoru na SAD i Njemačku Velika Britanija je prije nekoliko godina pokrenula web stranicu na kojoj se objavljuju fotografije osumnjičenih kriminalaca i pozvala građane da joj se jave s korisnim informacijama koje bi dovele do njihova uhićenja. No, zbog greške u konfiguraciji web servera javnosti su osim podataka o osumnjičenim osobama postale dostupne i informacije o zviždačima koji su ih prijavili.

I dok britanska policija tvrdi kako web stranica Facewatcha zadovoljava sve sigurnosne standarde, mnoge organizacije koje koriste servis pitaju se kako je došlo do curenja informacija. Pokazalo se da je riječ o početničkoj grešci administratora. Sve što se od hakera tražilo je da promjene http u https i sve datoteke objavljene na Internet stranici postale su dostupne. Naime, Hginx je bio pogrešno konfiguriran za ispis sadržaja direktorija, a ne za pristup željenoj stranici. Dok je posjet adresi http://facewatch.co.uk preusmjeravan na http://facewatch.co.uk/cms/, isti postupak nije se dogodio i s https stranicom koja je umjesto toga otkrila indeks root direktorija.

Sigurnosni problem otkrio je posve slučajno jedan od korisnika prilikom prijave zločina. Dok je osoba unosila URL, umjesto http utipkala je https čime je dobila pristup cijelom stablu DocumentRoot direktorija. Grešku je korisnik prijavio i ona je brzo uklonjena, u što se možete i sami uvjeriti.

Odgovorni za Facewatch stranicu kažu kako je pristup kodu bio povezan s ranijom inačicom računalnog programa koja se više ne koristi. Također su naveli kako su sve osobe koje su prijavile zločine već prije poduzele "sve potrebne mjere opreza kako bi zaštitile svoju sigurnost".

Tako je greška u sustavu dopustila lak pristup informacijama o tvrtkama koje su se prijavile za uslugu Facewatcha. Riječ je o britanskim poslovnim kompanijama, trgovinama i sl. koje na svakodnevnoj bazi koriste usluge Facewatcha budući su izložene raznim napadima pljačkaša. Baza na Internet stranici sadrži imena i kontakt podatke zaštitara i menadžera odgovornih za sigurnost. Ovdje je riječ o ozbiljnom prijestupu budući da osumnjičeni kriminalci mogli doći do imena osoba koje su ih prijavile te ih na razne načine zastrašiti ili im se pokušati osvetiti.

Uz to, osobe koje su se prijavile na Facewatch stranicu mogle su vidjeti i oko 4.250 različitih zapisa sa fotografijama i videom osumnjičenika datiranih do ožujka 2011. Snimke su u najvećem broju slučajeva prikazivale krađe po trgovinama i robnim kućama te izgrede u pubovima. Neke od ovih fotografija/snimki navodile su čak i imena, što je prema mišljenju pravnih stručnjaka problematično za stranicu ukoliko se pokaže da su osobe nevine. Naime, objavom fotografija prejudicira se nečija krivnja i prije početka suđenja. Osobi se uz to i nepovratno uništi reputacija, a mogućnost zbog tužbi protiv klevete u tom je slučaju doista velika.

Facewatch je dostupan i na pametnim telefonima putem aplikacije koju je do sada skinulo oko 63 000 osoba, dok je baza video snimaka i fotografija pregledana gotovo milijun puta.

Ovakvi sigurnosni propusti mogu samo pokolebati potencijalne zviždače u obavljanju društvene odgovornosti i pridonošenju demokratizaciji društva.