NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Wyciek danych osobowych prokuratorów/sędziów/pracowników sądu. Hasła, adresy e-mail, “miejsca zamieszkania”, …
O wycieku poinformował poszkodowanych Dyrektor Krajowej Szkoły Sądownictwa i Prokuratury. Z platformy szkoleniowej KSSiP wyciekły rekordy zawierające przynajmniej takie dane jak: Imię/Nazwisko, numer telefonu, adres e-mail, jednostka (miejsce) pracy, miejsce zamieszkania, hasło (w formie zahashowanej). Jakie osoby zarejestrowane są w tym systemie? Zawody należą raczej do wrażliwych, a wyciekło najprawdopodobniej około 50 000 rekordów.
.
Sytuacja może być szczególnie niepokojąca, jeśli wyciekły pełne adresy zamieszkania (odpowiedzcie sobie sami dlaczego) – w piśmie poniżej znajduje się informacja o wyciekniętych “miejscach” zamieszkania – co nie przesądza o szczegółowości tych danych. Z dodatkowych informacji wiemy, że najprawdopodobniej dokładne miejsca zamieszkania wyciekły tylko w pojedynczych przypadkach.
Nie można bagatelizować również e-maili oraz haseł, które “dostały się do Internetu”. Zauważmy, że bardzo wiele osób używa tego samego loginu (e-mail) i hasła do wielu różnych systemów. Zapewne część osób dotkniętych wyciekiem, ma również dokładnie takie same hasła do poczty elektronicznej. Z naszej strony polecamy poszkodowanym przyjrzeć się swoim hasło/kontom, bo sam reset haseł, który wymusił KSSiP może nie wystarczyć. Poniżej już samo pismo:
pismo 1/2
pismo 2/2
Poszkodowani oczywiście nie są zadowoleni:
Przyznam, że się zagotowałem, gdy dostałem tego mejla. Obawiam się, że PESELE też wypłynęły. Potężna wtopa KSSiP i ktoś powinien za to odpowiedzieć.
Ktoś inny pisze:
Tak, ja także dostałem. Podobno wraz z innymi 50 000 osób!!!
Jak mogło dojść do wycieku? Jakie dane zostały w końcu wykradzione? Spróbujmy wykonać małą analizę.
Dane zbierane w poprzedniej platformie widać np. tutaj (stąd wiadomo również, że system został stworzony w oparciu o Moodle, który do najbezpieczniejszych nie należy – jest sporo exploitów, które pozwalają przejąć system lub bazę, a które wymagają jedynie posiadania dowolnego konta w aplikacji; wszystko to pod warunkiem, że Moodle nie jest regularnie aktualizowany). Tezę tę potwierdzają również dość egzotyczne pola w bazie, o których wspomina się w wycieku (ICQ, MSN, Yahoo, Skype, …) – wszystkie one znajdują się w tabeli users rozwiązania Moodle.
Otwarte pozostaje pytanie czy do bazy Moodlowej zostały ‘dointegrowane’ jakieś inne pola zbierane np. w trakcie rejestracji na szkolenia, oraz czy atakujący nie dostali się na system operacyjny (ew. do innych baz danych – np. za pomocą podatności SQL injection, która w Moodle-u “gościła” nie raz). Warto zaznaczyć, że w samej wspominanej wyżej tabeli nie ma numerów PESEL.
Na obecną chwilę możemy potwierdzić, że wyciekła właśnie wspomniana tabela z Moodle. Warto też wspomnieć, że w obecnym systemie, podczas rejestracji podaje się np. taki zakres danych:
Dane zbierane podczas rejestracji – najnowsza wersja systemu
Jak widać, nie ma tutaj pełnego adresu zamieszkania, chociaż widzimy np. numer telefonu czy datę urodzenia. Z drugiej strony nowa platforma szkoleniowa została wprowadzona całkiem niedawno (2. marca 2020r.) – wyciek z kolei miał miejsce dla danych wprowadzonych do systemu do dnia 21. lutego 2020. Może więc coś poszło nie tak w trakcie migracji danych? Może nie do końca dobrze skonfigurowane środowisko testowe? (a zawierające dane produkcyjne?). Poniżej fragment z oficjalnej dokumentacji:
Fragment dokumentacji
Jeszcze inne miejsce, które zostało zmigrowane do nowej platformy możecie zobaczyć w tutaj, gdzie zakres zbieranych danych jest dość wrażliwy (nota bene w każdym z ww. formularzy widać np. numery PESEL, choć w cytowanym przez nas piśmie jest jedynie informacja, że: “nie można wykluczyć możliwości” [wycieku numerów PESEL] i w tym temacie trwają jeszcze “prace analityczne”). W tym przypadku mamy już np. pełen adres zamieszkania:
Dane zbierane w poprzednim systemie
Jeśli ktoś z naszych czytelników posiada więcej informacji o wycieku – prośba o kontakt, trudno bowiem na 100% określić o wyciek jakiej (jakich?) baz chodzi.
–ms
Na pewno dotyczy to poprzedniej platformy, bo w tym roku na pewno nie zarejestrowało się 50 tys. użytkowników.
Nie przypominam sobie, aby przy rejestracji podawało się PESEL, miejsca zamieszkania na pewno nie; podawało się imię, nazwisko, mail, tel., miejsce pracy.
To na pewno, choć pamiętaj o takich rzeczach jak migracja danych (nie wiemy czy została wykonana w tym przypadku).
Baza (CSV) ciągle wisi w necie
Podawało się PESEL, pamiętam bo miałem zastrzeżenia akurat co do tego
A csv ciągle dostępne