Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak doszło do wycieku danych sędziów i prokuratorów z KSSiP? Dump bazy dostępny w publicznym katalogu.

22 kwietnia 2020, 10:39 | W biegu | komentarzy 7
Tagi: ,

Prokuratura donosi o zatrzymaniu jednego z pracowników firmy zewnętrznej zajmującej się wdrożeniem nowej platformy szkoleniowej przeznaczonej dla pracowników wymiaru sprawiedliwości. Niedawno doszło do wycieku (imiona, nazwiska, e-maile, telefony, hasła – choć najprawdopodobniej nie będzie można ich złamać). Powód jest dość prozaiczny:

w trakcie testowego migrowania danych szkoły na nowo utworzoną platformę utworzył katalog, do którego przeniósł dane osobowe pracowników wymiaru sprawiedliwości, zapisane w systemie informatycznym KSSiP. Następnie katalogowi (…) nadał uprawnienia publiczne, tzn. umożliwił pobranie danych z katalogu dowolnej osobie, mającej dostęp do internetu. Pliki te zostały pobrane przez dotychczas nieustalone osoby i zamieszczone w serwisach internetowych umożliwiających przechowywanie danych.

Krzysztofowi J. zostanie przedstawiony zarzut udostępnienia danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym KSSiP. Czyn ten jest zagrożony karą do 5 lat pozbawienia wolności.

Dodamy, że prawdopodobnie katalog na serwerze miał włączone tzw. directory listing – czyli po wejściu na katalog widzimy jego zawartość.  Jak całość skomentować? Z jednej strony na pewno jest to bardzo daleko posunięta nieostrożność, z drugiej strony z naszego doświadczenia wynika że dużo administratorów cały czas nie ma świadomości zagrożeń – szczególnie w obszarze zapewnienia poufności przechowywanych czy przesyłanych danych.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Damian

    Zauważyłem ostatnio niepokojący trend polegający na oddaniu w „opiekę” infrastruktury i serwerów w ręce firm zewnętrznych. Wiadomo, cięcie kosztów działu IT. Z drugiej strony, firmy zewnętrzne też tną koszty np. pensji pracowników czy ich szkoleń. I w rezultacie mamy sytuację, gdzie pseudo administrator bierze się do migracji danych wrażliwych.
    Inna sprawa, że są firmy/urzędy mające rozbudowany dział IT, który polega w 90% na usługach firm zewnętrznych, samemu ograniczając się do przysłowiowego uzupełnienia papieru w drukarce.

    Odpowiedz
    • @Damian, Słusznie zauważyłeś – też jestem tym przerażony.

      Odpowiedz
  2. adrian

    Czyli wszystko wskazuje na to, że zatrzymano bez żadnych podstaw prawnych, pod publikę, osobę, z którą można było najwyżej rozwiązać umowę i zrobiono to tylko po to aby stworzyć pozory jakiegoś działania. Fajne państwo, ciekawe czy wysłali po niego pododział AT o 6 rano.

    Odpowiedz
  3. adfd

    Ok, ale jak długo to wisiało i czy na głównym katalogu serwera? Jeśli nie, to jak ktoś to wypatrzył?

    Odpowiedz
    • Curious

      No wlasnie, jeżeli nie był to index index to jak to ktoś obczaił w krótkim czasie – ma wiecznie zapuszczony jakis crawler co szuka folderów z publicznym dostępem ? Duzo tych wpadek ostatnimi czasy, jakby zbierali dane na inne akcje

      Odpowiedz
      • Cieżko powiedzieć nie znając szczegółów, ale może to być tak że ktoś patrzy ogólnie na wszystkie miejsce z potencjałem na wyciek (np. w shodanie). I akurat trafiło tym razem na ten.

        Odpowiedz
  4. A moim zdaniem celowo wystawił zasób danych „na zewnątrz” aby potem mieć możliwość jego pobrania przez VPN/Tora. Dodatkowo udostępnił pewnie jego zawartość publicznie celem rozmydlania śladów.

    Odpowiedz

Odpowiedz