Wyciek danych z osobowych z portalu MIMUW (sprawdźcie też SPAM…)

18 listopada 2020, 16:35 | W biegu | komentarzy 9
Tagi:
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Od jednego z czytelników otrzymaliśmy e-mail rozesłany przez wydział Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego:

Od: Powiadomienie UODO powiadomienie-uodo@mimuw.edu.pl
Data: 18 listopada 2020
Temat: ***Spam*** Incydent naruszenia danych osobowych w portalu MIMUW

(…)

Na początek, jak widać po tytule, trochę odbiorców maila może w ogóle nie otrzymać, bo wpadnie on do spamu… W każdym razie dalej czytamy:

(…) ustalono, że od dnia 12 czerwca 2017 roku w ww. serwisie dostępny był katalog z repozytorium kodu źródłowego, które zawierało dane studentów Wydziału Matematyki, Informatyki i Mechaniki Uniwersytetu Warszawskiego, a w niektórych przypadkach studentów Wydziału Prawa i Administracji, ponadto w repozytorium znajdowały się dane pracowników i współpracowników Uniwersytetu Warszawskiego. Umieszczenie repozytorium z danymi było następstwem błędnych działań osób odpowiedzialnych za przygotowanie i konfigurację nowego serwisu www.mimuw.edu.pl. Chciałem podkreślić, że na żadnym etapie nie przełamano zabezpieczeń informatycznych systemów MIMUWu. Repozytorium z danymi było ukryte. Po dokonaniu pełnej analizy zdarzenia i logów systemowych administrator ustalił, że dostęp do repozytorium mogła uzyskać osoba nieuprawniona.

Zakres danych, do których „nieznany sprawca” uzyskał dostęp:

  • imiona i nazwisko,
  • informacja o zmianie nazwiska,
  • nazwisko panieńskie,
  • płeć,
  • zdjęcie,
  • PESEL,
  • data urodzenia,
  • obywatelstwo,
  • nr indeksu,
  • numery telefonów (prywatne/służbowe),
  • adres e-mail (prywatny, służbowy, studencki),
  • adresy korespondencyjne,
  • stopień naukowy,
  • status osoby: student/pracownik,
  • dane dot. profilu w bazie USOS,
  • program studiów,
  • funkcje pełnione na uczelni.

Jak do tego doszło? Czytamy dalej:

Aby uzyskać dostęp do katalogu, należało posiadać wiedzę związaną z hostingiem aplikacji WWW i używaniem repozytoriów kodu; dane osobowe nie były odsłonięte i w łatwy sposób dostępne publicznie. Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu. Ponadto administrator stwierdził wystąpienie podatności polegającej na umieszczeniu w repozytorium kodu źródłowego klucza dostępu, który umożliwiał wysłanie do bazy USOSapi (serwis zawierający kompletne rekordy danych) indywidualnego zapytania, dotyczącego konkretnej osoby fizycznej.

Chodzi zatem o możliwość komunikacji z API systemu USOS. Ale dostęp do API jest zabezpieczony, prawda? Prawda, ale napastnik wyciągnął z serwisu mimuw.edu.pl klucz API umożliwiający taki dostęp. Skąd klucz? Tu jest nieco bardziej tajemniczo, ale dużo wskazuje na z „ukryty” katalog związany z jednym z systemów kontroli wersji (.git?)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. J.

    2017 rok?
    To błąd, czy jakieś historyczne zdarzenie

    Odpowiedz
    • podatność była od 2017 do ~teraz

      Odpowiedz
  2. Rozek12

    czyli CID w srodowisku devow… klaaasyka :)

    Odpowiedz
  3. Nism0

    Hah, chyba ktoś dobrze przestudiował waszą książkę @Sekurak! :D

    Odpowiedz
    • A prawda, mamy osobny rozdział o różnych „ukrytych” zasobach w aplikacjach webowych.

      Odpowiedz
  4. Karol

    A waszej książce o bezpieczeństwie jest fragment o folderze .git pozostawianym na serwerach ;)

    Odpowiedz
  5. admin1

    Kolejny wyciek danych i zapewne nie ostatni. Nie ma idealnych zabezpieczeń. Tylko dlaczego karany jest jak zwykle przede wzystkim właściciel danych (ryzyko kradzieży tożsamości, konieczność wymiany dokumentów) oraz ich posiadacz (kara od UODO), a nie ten kto je bezprawnie wykorzysta (wyłudzający kredyt oraz bank który to akceptuje bo widzi tylko swój zysk) ???

    Czas na surowe karanie przestępców i banksterów za posługiwanie się cudzymi danymi a nie posiadaczy tych danych.

    Odpowiedz
  6. asdsad

    Mieli jaja, że się przyznali, mimo że nie było deface-a. Strach myśleć ilu się nie przyznaje.

    Ale dobre jest to zdanie:
    „Do repozytorium można było uzyskać dostęp tylko w wyniku wykonania działań inwazyjnych określonego typu, nie przez standardowe korzystanie z portalu.”

    Z polskiego na nasze: mógł to zrobić każdy z 5 miliardów użytkowników internetu, wpisując jakąś ścieżkę, którą podpowiedział Metasploit.

    Odpowiedz

Odpowiedz