Beogradska javna preduzeća podatke građana ustupaju oglašivačima

Na sajtovima pojedinih beogradskih javnih preduzeća pronađene su intruzivne tehnologije koje omogućavaju drugim akterima da prate i prikupljaju podatke koje korisnice i korisnici ostavljaju na sajtovima preduzeća i da ih prosleđuju oglašivačima dalje preko drugih sajtova.

Ne postoji ni jedan razlog zašto bi veb stranica gradskog javnog preduzeća koristila ovakve tehnologije, navodi se u istraživanju Share fondacije o bezbednosti 30 sajtova koji pripadaju Gradu Beogradu, odnosno povezanim organima, gradskim službama i javnim preduzećima.

Skoro polovina analiziranih sajtova (12) poseduje marketinške trekere koji omogućavaju oglašivačima da prikupljaju podatke o korisnicima sa veb stranice, za plasiranje targetiranih oglasa, a mogu ih koristiti i brokeri podataka i drugi sakupljači informacija na internetu.

Na ovaj način se ovim trećim stranama olakšava personalizovanje reklama i građenje digitalnog identiteta korisnika preko različitih onlajn mreža, uglavnom u svrhu ostvarivanja profita ovih posrednika.

Na šest sajtova (JKP „Beograd put“, JKP „Beogradski vodovod i kanalizacija“, JKP „Javno osvetljenje“, JKP „Parking servis“, JP „Beogradska tvrđava“ i Aerodrom „Nikola Tesla“) pronađeni su kolačići trećih strana, odnosno posrednički kolačići koji dopuštaju drugim sajtovima da prate korisničko ponašanje na tim sajtovima.

Beograd daje 180.000 evra za onlajn uključivanje građana u urbanizam

Iako je broj kolačića i trekera koji su pronađeni na svim sajtovima mali, korišćenje ovih tehnologija jako je problematično za kredibilitet samih javnih preduzeća jer nema razloga da državne institucije imaju ovakve trekere na sajtovima.

JKP „Beogradski vodovod i kanalizacija“ je jedini sajt na kojem je utvrđeno korišćenje invazivnih trekera koji prate beleženja unosa korisnika na sajtu (keystrokes capturing). Beleženje unosa, iako nije mnogo rasprostranjena praksa, podrazumeva da sajt pamti tekst koji se unosi, bilo prilikom registracije na sajt ili ostavljanja komentara.

Važno je napomenuti da je ovakva tehnika pamćenja unosa teksta aktivna čak iako se korisnik predomisli i obriše napisan tekst, koji može sadržati adresu, broj platne kartice ili komentar na sadržaj.

Skoro desetina analiziranih sajtova ne koristi enkriptovani https protokol, što je manje više standard u 2022. godini, što predstavlja razlog za brigu i sumnjanje u bezbednost tih sajtova.

Takođe, iako je više od 70 odsto sajtova hostovano u Srbiji i u skoro trećini slučajeva podaci prolaze samo kroz Srbiju, kod nekoliko sajtova je ustanovljeno da se koriste posrednički servisi kao što je Cloudflare.

Ovaj servis ima veliki značaj kada je u pitanju zaštita od DDoS napada, ali je važno ne zaboraviti da je Cloudflare kompanija sa sedištem u SAD, što znači da korisnički podaci prolaze kroz američke servere.

Čak 80 odsto sajtova javnih institucija nema objavljenu politiku privatnosti niti obaveštenje o kolačićima. Obaveštenje odnosno politika kolačića je pronađena na samo sedam sajtova.