Értelmetlen PDF védelem

Kaptam egy emailt valami laborleletről. Ennél a szolgáltatónál én még sosem jártam, tehát valaki más lelete ez, csak az én email címemet adta meg. Ez nem lep meg, sokszor előfordul.

A lelet két darab jelszavas PDF fájlban volt. Szépen leírták, hogy a jelszó a születési dátum 19000101 formátumban. Az utóbbi 100 évben született emberek esetében ez kb. 36525 próbálkozással nyitható. Nem kell hozzá semmi gonosz program, csomó minden tud parancssorból jelszavas PDF-et konvertálni. for year in {1924..2024}; do ... done, a többit ki lehet találni.

De ezek súlyosbították, mert az egyik fájl nevében ott volt a születési év. Akkor így már csak 365 próbálkozás. Ezt már script nélkül, kézzel is sima ügy kinyitni.

Hogy lehetnek ilyen idióták az emberek az érzékeny adataikkal? Még szerencséjük van, hogy hozzám került, mert töröltem, és szóltam nekik.

( gemnon v | 2024. 09. 09., h – 12:49 )

Ezt az NVI is megjátszotta az emailben küldött választási határozatoknál (bár ott ÉÉHHNN volt), röhögtem is rajta, hogy kb fél perc törni.

( buga v | 2024. 09. 09., h – 12:52 )

Ezek szerintem látszatintézkedések, most hirtelen ami eszembe jut, hogy a Swiss Clinic pontosan az általad írtak szerint küld leletet. A Synlab is csak kicsit jobb: belekeveri a TAJ szám egy részét is, de az sem egy nehezen kideríthető dolog. Biztosítók (Aegon és Union is) is küldtek dokumentumot, ahol pusztán a születési dátum volt a jelszó. Az Eon is. Vagy ott vannak a pénzügyi cégek, például az Erste Investment az összes pdf doksit születési év + ügyfélszámmal "védi", egyik sem egy megváltoztatható dolog...

( KoGa v | 2024. 09. 09., h – 13:43 )

Azt nem mondanám, hogy értelmetlen; nem egy óriási védelem, de legalább "olcsó".

( Nyosigomboc v | 2024. 09. 09., h – 14:03 )

Mi lenne a javaslatod? Ne korlatozza a usert tulsagosan, es valamennyire aranyban legyen a vedendo infoval!

Jellemzoen a user altal megadott mailcim a sajatja, szoval oda o kapja a dolgait (jo, tudom, plain textben kozlekedik, de annyira nem trivialis kozbeekelodni).

A laborban leadhatnal jelszot, de ezt >0 esely, hogy elirjak es nem erosebb ennel. Pin kodot nehezebb elirni (nincs i1l-0oO tevesztes), de nem biztos, hogy erosebb lesz, es ugyanugy kiporgetheto offline, mint a mostani.

Legyen minden embernek kotelezo regisztracio, tartsanak fent webes rendszert, ahova belep - es amit esetleg megtorve mindenkinek a leletet el tudja a tamado vinni?

A strange game. The only winning move is not to play. How about a nice game of chess?

Kulcsszó: elektronikus titkosítói tanúsítvány.

Ez most nem POL: Ha egy pici eszük lenne odafent a döntéshozóknak, akkor mindenkinek lenne nem csak elektronikus aláírása, hanem elektronikus titkosítói tanúsítványa is (+ authentikációs is és akkor jó világ lenne). PKI.
Nem kell regisztrálni, nincs jelszólejárati probléma. Hogy ASIC vagy titkosított PDF megy ki, az már csak részletkérdés.

Ha ezt a problémát nem tudják 2024-ben megoldani, akkor inkább térjenek vissza a papírhoz. Az a minimum, hogy az emailt validálják pl. egy regisztráció során, hogy az övé-e. A többit a szakértőkre bízom. Valahogy csak meg lehet védeni azokat a szenzitív egészségügyi adatokat...

Sőt, én kifejezetten örülnék, ha a háziorvosommal nem random (ingyenes) gmail-es címeken kellene leveleznem, hanem lenne (akár az EEEEEEESZT-ben, akár azon kívül hagyományos e-mail) állami levelezés erre.

Kapjon egy drjoskapista@haziorvos.eu.gov.hu e-mail címet, legyen hozzá kényelmes mobilapp az orvosnak, rendes webes felület, és ne építsen a Google arra hirdetést, hogy épp milyet fostam.

( Sulc v | 2024. 09. 09., h – 16:24 )

Ha nincs rajta jelszó és megnézed akkor az gondatlan adatkezelés az ő részükről.

Ha van rajta bármilyen egyszerű jelszó, és kipörgeted akkor az informatikai rendszerhez való jogosulatlan hozzáférés - nyilván IT oldalról bizonyítani nehéz - de ezáltal be vannak védve.

Nyilván be lehet ezzel is próbálkozni, de gondolj már bele. Milyen rendszerhez fértem hozzá? Ez egy email, nem rendszer. Az emailből egyáltalán nem derül ki, hogy kinek szól az üzenet. Csak egy címzett van benne, ami az én címem. Innen kezdve sok sikert annak bizonyításához, hogy jogosulatlanul fér hozzá a címzett. Majd térjünk vissza rá, ha van hivatalos állásfoglalás vagy bírói gyakorlat. De szerintem amúgy pont azért nem vinnének ilyet bíróság elé, mert kiderülne, hogy ők kezelték kurvára hanyag módon az adatokat.

422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából

e) információs rendszerben kezelt adatokat titokban kifürkész, és az észlelteket technikai eszközzel rögzíti, bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.

(3) Az (1) bekezdés szerint büntetendő, aki az (1)–(2) bekezdésben meghatározott módon megismert személyes adatot, magántitkot, gazdasági titkot vagy üzleti titkot továbbít vagy felhasznál. (4) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha az (1)–(3) bekezdésben meghatározott tiltott adatszerzést a) hivatalos eljárás színlelésével, b) üzletszerűen, c) bűnszövetségben vagy d) jelentős érdeksérelmet okozva követik el.
 

 

Attól, hogy neked erről a PDF-ről van egy másolatod, ez az adat információs rendszerben kezelt adat.

Ilyen már velem is történt, ott annyival volt védhetőbb a dolog, hogy a levélben volt megszólítás, ami viszont egyértelműen nem az én nevem volt.

Azaz abszolút hozzánemértőként az a véleményem, hogy:

- ha a levélben "Tisztelt Gáz Géza" jellegű módon szólítanak meg, te pedig Gombóc Géza vagy, akkor innentől ha kinyitod a PDF-et ami tudhatóan nem neked szólt -> elbuktad

- ha ellenben Gőz Géza vagy (vagy tényleg Gáz Géza), akkor lehetsz jóhiszemű, bár akkor is kérdéses, hogy ha a saját születési dátumoddal nem tudod nyitni (és ahogy írtad sosem álltál velük kapcsolatban, nem vártad a leletet), akkor miért kezdted "feltörni" a védelmet -> rezeg a léc

- ha viszont "Tisztelt Ügyfelünk / Páciensünk / Betegünk" kezdetű levélben érkezik, ÉS még a saját születési dátumoddal tudod is nyitni, no ez az egyetlen, amikor tiszta ügy, hogy jóhiszemű vagy.

A többi külön nem tárgyalt esetben a jóhiszeműség kurvára kérdéses, és nagyon gond lenne.

tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Fordítsuk meg a dolgot: készítek egy PDF-et a saját személyes adataimmal, és valami szörnyű "véletlen" során kiszórom egy óriási levelezési listára. A levélbe nem írok címzést, csak annyit, hogy ne nyisd meg, ha nem neked szól. Még akár az is lehet, hogy titkosítom, és beleírom, hogy mondjuk a keresztneved első betűje a jelszó. Akkor utána perelhető a fél ország? Van egy tippem, hogy a feladói oldalról ilyen rosszhiszeműségre nem is gondolt a jogalkotó. De a több korábbi komment alapján a címzettek nagy része jogtalanságot követne el.

valoszinu  hogy elejen valami randomkarakteres jelszot hasznaltak, csak utana a supportcenterben a ticketek fele az lett hogy nemtudja megnyitani a fajlt. ezert osszedugta az It es a jogi osztaly a fejet, es kitalaltak ezt. nyilvan ok is tudjak hogy szar, de ad1) user boldog hogy megtudta nyitni a fajl, ad2) supporton nincs felesleges terheles, ad3) jogilag okes.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!