Oficiul de Stat pentru Inventii si Mărci, OSIM, ține pe un wordpress nesecurizat date personale accesibile la liber

Am primit informația aceasta anonim, pe mail, nu sunt eu atât de deștept încât să verific instituțiile statului. Linkurile sunt cele de mai jos, am salvat și printscreenuri, dacă se trezește vreun admin care să zică Dar vai, nu e adevărat, e o campanie declanșată împotriva noastră de inamicii statului. Cred că GDPRiștii din românia vor tresălta de fericire.

https://osim.ro/wp-content/uploads
https://osim.ro/publicatii

29 comentarii

  1. #1

    Un tutorial, pentru incepatori:

    https://www.wpbeginner.com/wp-tutorials/disable-directory-browsing-wordpress/

    Cat de greu o fi sa dai disable la directory browsing?

    9

  2. ca să ajungi aici trebuie intenționat sabotat WP-ul, care implicit vine cu protecție împotriva acestui comportament (mă rog, are un index.php gol în fiecare folder), și aș putea pune pariu pe o șaorma că un șef a cerut IT-ului să aibă el acces la fișiere când vrea el, și să fie ușor, să nu-și bată capul cu parole.

    19

    • da, la asta ma gandeam, ca nu ai cum sa ai asa ceva fara sa dai delete manual

    • #5

      Nu neaparat,
      versiunea pe site e 4.11, plus ca cel mai probabil a fost instalat cand index.php nu exista by deault in fiecare director

      4

    • Vezi poate si-a inregistrat si Olivia Steer mamaliga vartoasa

      14

    • #10

      Primii pasi spre calatoriile in hiperspatiu au fost deci facute, sa notam data. Dupa tocul fara calimara, calorifer, tuica de prune si motorul cu reactie, rrromanii dau umanitatii, iata, si motoarele navei Enterprise. Beam me up, Scotty!

      8

    • Asta e un job care mi-ar placea: sa citesc toata ziua documentatie pentru multiplicatori de energie cuantica, bariere contra atacurilor psihotronice si disipatori de chakre cosmice

      0

    • #12

      „EFECTE ALE ENERGIEI VEȘNICE

      S-a dovedit că produsele cancerigene distorsionează lumina la o lungime de undă de 380 nanometri. Cancerul, deci poate fi urmărit acum în corpul uman până la pierderea de coerență a luminii pe care o avem în noi. Pe de altă parte, s-a constatat că dacă introducem într-o piramidă energetică substanțe chimice generatoare de cancer, într-un timp rapid acestea devin netoxice, ca și cum structura moleculară a acestora ar fi fost reorganizată într-un mod care susține viața.

      Avem capacitatea de a-i vindeca pe alții prin propriile noastre gânduri, cu dublura noastră energetică și eliberând fotoni care conțin coduri de vindecare.”

      Și de acolo se tot duce la vale…

      1

    • Apa înregistrează informații și circulând sub pământ distribuie aceste informații.

      2

    • #14

      bai fix pe asta l-am deschis si eu. ceva rar. se pare ca a rezolvat o problema majora a terapiei cuantice cu energie din univers, din aia buna, simpla. nu am citit pana la capat dar poate e o posibila schema de capturare a lui baphomet

      0

    • @Mihai, cinstit era sa dai tot citatul, sa nu creada lume alte alea: „beam me up Scotty, there is no intelligent life down here!” :D

      0

    • pagina 2: „studierii și experimentării efectelelor aplicării energiei cuntice asupra corpurilor vii”

      WTF? „cuntice”?! … OSIM face citate de la PornHub sau ce?

      1

  3. Le-am frunzarit putin. La prima vedere nu sunt date cu caracter personal care sa nu fie oricum publice pe website-ul institutiei.

    Tot ce se poate accesa prin link-urile de mai sus sunt oricum publicate pe website (din ce am apucat sa verific)

    8

  4. #18

    Băi frate, mi-am găsit brevetul, cu tot cu numele meu și adresa completă.

    https://osim.ro/publicatii/brevete/bopi_2018/

    Nu zic pagina, că poate am dușmani aici.
    Se poate face reclamație?

    Proștii, când a fost publicat, au inversat strada cu orașul, a mai durat 2 săptămâni de mailuri sa corecteze.

    3

  5. Am descarcat un .docx random:

    „Toate datele cu caracter personal colectate de Oficiul de Stat pentru Invenții și Mărci (OSIM) sunt prelucrate în conformitate cu dispozițiile Regulamentului (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (Regulamentul general privind protecţia datelor).”

    Yeah right

    4

  6. pe lângă WordPress sunt bătuți în freză și cu declarațiile de avere… am mai văzut prostia asta la mai multe instituții: au „anonimizat” cifrele din CNP-uri dar au lăsat perfect vizibile codurile de bare de pe marginile declarațiilor… care conțin de fapt și alea CNP-uri și toate celelalte date personale.

    0

  7. #21
    Ionuț Staicu

    Cetin, poate corectezi un pic articolul și scoți WordPress din ecuație. Titlul corect ar fi „Oficiul de Stat pentru Inventii si Mărci, OSIM, ține pe un SITE nesecurizat date personale accesibile la liber”.

    Este o problemă de configurare la server. În cazul de față se rezolvă cu un `Options -Indexes` în `.htaccess` (care oricum ar trebui setat așa implicit). Putea să fie la fel de frumos Drupal, Contao sau ceva custom, problema ar fi existat.

    Pentru specialiștii de mai sus: `wp-content/uploads` NU are nici un fel de protecție împotriva listării. Acel `index.php` este în `wp-content`.

    0

    • de ce, daca pui un index.php in folder nu inchizi problema?

    • Dacă pui un index.php nu faci decât să le ascunzi, dar e un fel de „security by obscurity”, nu oprește Google de la indexare, nu adaugă niciun fel de protecție. Ce zice domnul Staicu e mult mai corect.

      1

    • bineinteles, eu intrebam serios, nu eram ironic, Ionut e un guru in domeniu, as fi caraghios

    • #25
      Ionuț Staicu

      Închizi problema…. parțial

      Ok, pui un index.php în uploads. Dar ghici ce? WP e previzibil și organizează fișierele pe ani/luni. Adică vei putea lista wp-content/uploads/2019/01. Ar trebui un index.php pus și aici, nu?

      Apoi, mai ai plugin-uri care își pot face propria structură, gen wp-content/uploads/super-plugin. Umplem serverul cu index.php? :D

      De exemplu `wp-content/uploads/Evenimente/Seminar-National-Marci-august2019/` ăsta SIGUR nu e făcut din WP default. Ori este urcat pe FTP ori s-a folosit un plugin pentru asta.

      Problema este de configurare a serverului.

      0

    • „Options -Indexes” devine complet irelevant în condiile în care există Google, Bing sau chiar wget:
      „wget -m -k -K -E _site_url_root_aici_”

      0

    • RewriteCond %{HTTP_USER_AGENT} wget.* [NC]
      just saying

      0

    • „wget –user-agent=”Mozilla/5.0″ ${wget_extra_options}” „${site_url}”

      wget se poate prezenta ca fiind orice user agent.

      0

    • @Adi, ideea era că daca e wget blocat iar accesarea directă a fișierelor (altele decât html și php) ar fi fost restricționată, puține șanse să poți lua fișierele neafișate în pagini și fără link în pagini publice.
      Nu am nimic de câștigat așa că te las să mă bați runda asta.

      1

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

Dacă doresti să dai like unui comentariu, trebuie să fii logat in contul tău de pe cetin.ro

Citește și...

Un montaj de asemenea anvergură, mai rar. Băiatul care face chestiile astea pe jandarmemeria își irosește viața aiurea dacă nu trăiește din editare video pentru comedii, pentru că, domnilor, e inuman ce se întâmplă.

Un gest extraordinar de mișto făcut de membrii USR, care au decis, cu majoritate covârșitoare, că Nicușor Dan trebuie să fie candidatul lor pentru alegerile locale. Și asta arată că membrii reali, nu cei de la sediu, sunt mult mai cu picioarele pe pământ decât conducerea și înțeleg că Dan are mult mai […]

Am fost ieri la HardRock Cafe, in Herastrau, dupa un mers prin trafic de imi venea sa ma impusc, pentru ca am auzit ca au burgeri buni. Si da, sunt buni. Exceptand chifla aia cu varf lucios, pe care eu nu o mananc pentru ca mi-e sila, in rest, foarte bun. S-au mancat […]