Sérias preocupações têm sido levantadas sobre a segurança do banco de dados da Associação de Scout, que mantém os detalhes de contato de 450 mil jovens e adultos voluntários, The Register pode revelar.
A líder escoteiro contactado o Register para expressar sérias preocupações de que banco de dados Compass da associação não é seguro, apesar das garantias da organização que tinha sido testados. O sistema está em desenvolvimento há dois anos e foi ao ar em setembro.
Mas esta semana, verificou-se os usuários poderiam mudar detalhes, como a data de nascimento de outros membros - os mesmos detalhes utilizados para realizar as redefinições de senha. Essa funcionalidade já foi removido temporariamente depois que membros levou para o fórum Compass para reclamar .
No início da semana, a funcionalidade de pesquisa do sistema teve que ser modificado depois que membros relataram que a registros básicos busca resultou em muita informação.
El Reg entende o sistema tem sido marcada com problemas desde ir ao vivo. Mas as falhas atuais levantam questões sobre se os bugs de segurança poderia dar acesso a não-membros.
"Para muitas pessoas, isso põe em causa as garantias iniciais dadas em matéria de segurança", disse uma fonte familiarizada com o sistema. "Se estes erros estão sendo encontrados por usuários regulares, eu tenho quase certeza que a avaliação de vulnerabilidade ou código de verificação era pobre ...
"E eu tenho certeza que um esforço determinado renderia muito mais buracos que podem não precisam de você para ser um membro," nosso informante afirmou.
A fonte acrescentou: "Ele pode ter sido projetado com o cumprimento Data Protection Act em mente, mas muitos líderes sentem que não está apto a esse respeito."
Um porta-voz da associação disse que a segurança de todos os associados com o movimento é sempre primordial.
"Temos envolvidos empreiteiros conceituados e especialistas em segurança para garantir o cumprimento da legislação de protecção de dados e manter os nossos dados seguros. Nós verificar regularmente a segurança dos nossos sistemas usando especialistas neste campo."
Todos os adultos utilizando o sistema terá sido exaustivamente analisados através de um cheque antecedentes criminais divulgação criminal, disse ele.
"Compass não é um sistema acessível ao público. Fomos ao vivo testar o sistema em todo o Reino Unido desde o Outono do ano passado. Os nossos voluntários têm vindo a utilizar o sistema de trabalho em tempo real ao vivo desde o período do ano de Natal / Novo."
Ele disse que os gerentes tinham sido capazes de ver os dados de filiação contato de membros, mas não podia editar os dados fora do seu nível de controlo de gestão. "Nós estamos olhando para remover a capacidade de nossos gestores para ver os dados que não é diretamente relevante para o seu papel no exercício de funções de entrada de dados", disse ele.
"Temos registado esta questão com os nossos fornecedores, desenvolvedores e de protecção de dados e especialistas em segurança: nós, então, tomar as ações recomendadas por eles." ®
Nenhum comentário:
Postar um comentário