Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciek danych osobowych prokuratorów/sędziów/pracowników sądu. Hasła, adresy e-mail, „miejsca zamieszkania”, …

13 kwietnia 2020, 16:44 | W biegu | komentarzy 5

O wycieku poinformował poszkodowanych Dyrektor Krajowej Szkoły Sądownictwa i Prokuratury. Z platformy szkoleniowej KSSiP wyciekły rekordy zawierające przynajmniej takie dane jak: Imię/Nazwisko, numer telefonu, adres e-mail, jednostka (miejsce) pracy, miejsce zamieszkania, hasło (w formie zahashowanej). Jakie osoby zarejestrowane są w tym systemie? Zawody należą raczej do wrażliwych, a wyciekło najprawdopodobniej około 50 000 rekordów.

.

Sytuacja może być szczególnie niepokojąca, jeśli wyciekły pełne adresy zamieszkania (odpowiedzcie sobie sami dlaczego) – w piśmie poniżej znajduje się informacja o wyciekniętych „miejscach” zamieszkania – co nie przesądza o szczegółowości tych danych. Z dodatkowych informacji wiemy, że najprawdopodobniej dokładne miejsca zamieszkania wyciekły tylko w pojedynczych przypadkach.

Nie można bagatelizować również e-maili oraz haseł, które „dostały się do Internetu”. Zauważmy, że bardzo wiele osób używa tego samego loginu (e-mail) i hasła do wielu różnych systemów. Zapewne część osób dotkniętych wyciekiem, ma również dokładnie takie same hasła do poczty elektronicznej. Z naszej strony polecamy poszkodowanym przyjrzeć się swoim hasło/kontom, bo sam reset haseł, który wymusił KSSiP może nie wystarczyć. Poniżej już samo pismo:

pismo 1/2

pismo 2/2

Poszkodowani oczywiście nie są zadowoleni:

Przyznam, że się zagotowałem, gdy dostałem tego mejla. Obawiam się, że PESELE też wypłynęły. Potężna wtopa KSSiP i ktoś powinien za to odpowiedzieć.
Ktoś inny pisze:
Tak, ja także dostałem. Podobno wraz z innymi 50 000 osób!!!
Jak mogło dojść do wycieku? Jakie dane zostały w końcu wykradzione? Spróbujmy wykonać małą analizę.
Dane zbierane w poprzedniej platformie widać np. tutaj (stąd wiadomo również, że system został stworzony w oparciu o Moodle, który do najbezpieczniejszych nie należy – jest sporo exploitów, które pozwalają przejąć system lub bazę, a które wymagają jedynie posiadania dowolnego konta w aplikacji; wszystko to pod warunkiem, że Moodle nie jest regularnie aktualizowany). Tezę tę potwierdzają również dość egzotyczne pola w bazie, o których wspomina się w wycieku (ICQ, MSN, Yahoo, Skype, …) – wszystkie one znajdują się w tabeli users rozwiązania Moodle.
Otwarte pozostaje pytanie czy do bazy Moodlowej zostały 'dointegrowane’ jakieś inne pola zbierane np. w trakcie rejestracji na szkolenia, oraz czy atakujący nie dostali się na system operacyjny (ew. do innych baz danych – np. za pomocą podatności SQL injection, która w Moodle-u „gościła” nie raz). Warto zaznaczyć, że w samej wspominanej wyżej tabeli nie ma numerów PESEL.
Na obecną chwilę możemy potwierdzić, że wyciekła właśnie wspomniana tabela z Moodle. Warto też wspomnieć, że w obecnym systemie, podczas rejestracji podaje się np. taki zakres danych:

Dane zbierane podczas rejestracji – najnowsza wersja systemu

Jak widać, nie ma tutaj pełnego adresu zamieszkania, chociaż widzimy np. numer telefonu czy datę urodzenia. Z drugiej strony nowa platforma szkoleniowa została wprowadzona całkiem niedawno (2. marca 2020r.) – wyciek z kolei miał miejsce dla danych wprowadzonych do systemu do dnia 21. lutego 2020. Może więc coś poszło nie tak w trakcie migracji danych? Może nie do końca dobrze skonfigurowane środowisko testowe? (a zawierające dane produkcyjne?). Poniżej fragment z oficjalnej dokumentacji:

Fragment dokumentacji

Jeszcze inne miejsce, które zostało zmigrowane do nowej platformy możecie zobaczyć w tutaj, gdzie zakres zbieranych danych jest dość wrażliwy (nota bene w każdym z ww. formularzy widać np. numery PESEL, choć w cytowanym przez nas piśmie jest jedynie informacja, że:nie można wykluczyć możliwości” [wycieku numerów PESEL] i w tym temacie trwają jeszcze „prace analityczne”). W tym przypadku mamy już np. pełen adres zamieszkania:

Dane zbierane w poprzednim systemie

Jeśli ktoś z naszych czytelników posiada więcej informacji o wycieku – prośba o kontakt, trudno bowiem na 100% określić o wyciek jakiej (jakich?) baz chodzi.
–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. M.

    Na pewno dotyczy to poprzedniej platformy, bo w tym roku na pewno nie zarejestrowało się 50 tys. użytkowników.
    Nie przypominam sobie, aby przy rejestracji podawało się PESEL, miejsca zamieszkania na pewno nie; podawało się imię, nazwisko, mail, tel., miejsce pracy.

    Odpowiedz
    • To na pewno, choć pamiętaj o takich rzeczach jak migracja danych (nie wiemy czy została wykonana w tym przypadku).

      Odpowiedz
      • michal

        Baza (CSV) ciągle wisi w necie

        Odpowiedz
    • M

      Podawało się PESEL, pamiętam bo miałem zastrzeżenia akurat co do tego

      Odpowiedz
  2. Michal

    A csv ciągle dostępne

    Odpowiedz

Odpowiedz