След като Националната агенция по приходите успя да разбие рекордите с теча на лични данни, сега и Агенция "Пътна инфраструктура" (АПИ) е тръгнала по петите й. Оказва се, че чрез покупката на електронна винетка потребителите несъзнателно могат да оставят лична информация за публично ползване, а никой не се е постарал предварително да я защити.
Проблемът е свързан с функция за проверка на валидността на винетка през сайта на Националното тол управление (НТУ) www.bgtoll.bg. Сигнали на хора в социалните мрежи показват, че през подобна проверка всеки може да получи най-малкото имейл адресите на плащащите пътни такси само и единствено ако знае регистрационен номер на автомобил. А електронната поща попада в обхваната на правилата на ЕС за защита на личните данни.
Проверка на "Капитал" показа същото - при въвеждане на номера на автомобил, за който е била закупена винетка преди няколко седмица (виж снимката), и натискане на бутона за сигнал на проблем - картинка на гаечен ключ, наистина се появи форма за изпращане на съобщение, която включва имейл адреса, с който е закупена винетката.
Така на практика през номерата на автомобили може да се получават контактите на лицата, закупили винетни такси за тях - телефон, имейл адрес и каквото друго са предоставили.
Това се случва, ако купувачът е декларирал, че имейл адресът му може да се използва от АПИ за връчване на глоби или потвърждения за винетки - нещо, което всеки би поискал, а и е логично човек да поиска да получи потвърждение на имейла си, когато си е купил винетка, за да може да я покаже на проверяващите, ако случайно има срив в системата например. За тези автомобили, за които все пак това поле не е отбелязано, се появява надпис: "Да не се правят контакти".
И още нещо
Aко се натисне на иконката с принтера пък, на екрана се появява разписката, която купувачът получава на имейла си. Тя съдържа регистрационен номер, срок на валидност на винетката, както и начина на плащане, като ако е ползвана дебитна карта, се показват само последните четири числа от номера й.
Единственото, което пише относно лични данни в общите условия на НТУ, които всеки купувач на винетки трябва да приеме, е следното:
"Национално тол управление при Агенция "Пътна инфраструктура" не отговаря за съдържанието и функционалността, общите условия за работа и политиките за защита на личните данни на електронни страници, препратки към които се намират на електронната страница на Национално тол управление при Агенция "Пътна инфраструктура", и свързаните с нея https://web.bgtoll.bg/ и https://prod-bg.tecspayment.com/tecsweb/"
С подобна проверка може да се засече и кой автомобил на коя институция принадлежи или дали се движат законно по пътищата на страната. Автомобилът на "ВиК Варна", който зам.-министърът на регионалното развитие Николай Нанков използваше (за който "Капитал" писа), също има винетка, сочи справка. Незнайно защо обаче през май 2019г. първо е купена винетка за една година до май 2020 г., а на 2 януари 2020 г. е купена още една едногодишна винетка. Първата е купена от служител на регионалното министерство с имейл адрес SSGrigorov@mrrb.government.bg. Така за пет месеца заплатената винетка се дублира.
Сайт с проблеми
Сайтът www.bgtoll.bg е изработен от фирма УПХ, като поръчката е възложена от АПИ без състезание, защото стойността е била под 30 хил. лв., тоест под задължителния праг за обявяване на открита процедура. От пътната агенция обясниха преди година, че са направили предварително запитване до "специализирани дружества" и УПХ е дало най-ниската ценова оферта. Предметът на заданието на АПИ е бил "Разработване на интернет портал, свързан с осигуряването на онлайн платформа за потребителите, и доставчици на услуги, свързани с тол системата". Странното в случая беше, че сайтът не се изработваше от фирмата, която изгради цялата система за електронни виентки и тол такси - Kapsch, а е предмет на отделно задание.
През януари 2019г. пътната агенция обяви, че ще санкционира изпълнителя заради хаоса при въвеждането на системата за електронни винетки. Даниел Лазаров, собственик на УПХ, обясни пред "Капитал" тогава, че компанията е спазила всички условия, с които възложителят се е съгласил и по които се работи. Той подчерта, че сайтът е с изцяло информативен характер и това е всичко, което се очаква да върши.
След като Националната агенция по приходите успя да разбие рекордите с теча на лични данни, сега и Агенция "Пътна инфраструктура" (АПИ) е тръгнала по петите й. Оказва се, че чрез покупката на електронна винетка потребителите несъзнателно могат да оставят лична информация за публично ползване, а никой не се е постарал предварително да я защити.
Проблемът е свързан с функция за проверка на валидността на винетка през сайта на Националното тол управление (НТУ) www.bgtoll.bg. Сигнали на хора в социалните мрежи показват, че през подобна проверка всеки може да получи най-малкото имейл адресите на плащащите пътни такси само и единствено ако знае регистрационен номер на автомобил. А електронната поща попада в обхваната на правилата на ЕС за защита на личните данни.
5 коментара
Не е чак такъв проблем, те данните изтекоха вече чрез НАП :П)))))))
Леле майко, вярно е.
Сега можеш да разбереш на сого е авномобил, без особени усилия
Това ще продължава да се мултиплицира и да става все по-сериозен проблем, защото на българинът не му дреме. Ако в някоя друга страна Търговският регистър бе блокиран за месец, а на почти всички граждани им бяха изтекли личните данни, щеше да стане потоп. Само при нас на никой не му пука, а и най - нагло хората от говорни за това не просто не си подават оставките, ами си и раздават хиляди левове бонуси за добре свършената работа.
Още една милиционерска издънка. Сигурно пак друг ще им е виновен.
Идиот след идиота в тази администрация.