Wyciek KSSiP – co siedzi w bazie danych osobowych prokuratorów, sędziów? Czy hasła są łatwo łamalne?

Co dopiero pisaliśmy na gorąco o niedawnym wycieku danych z KSSiP. Obecnie mamy nieco więcej informacji. Sama Szkoła pisze:

Prawdopodobne jest, że do wycieku danych osobowych doszło na skutek zaniedbania jednej (…) firm [zewnętrznych, obsługujących KSSiP – przyp. sekurak]

To rzeczywiście dość częsty przypadek, kiedy atakowany jest dostawca. Cały czas mocno enigmatyczny jest PESEL. W tabeli, która pojawiła się na jednym (i później innych) forum, nie ma PESEL-i. Sprawa więc wydawałaby się zakończona – jednak być może do naruszenia doszło jeszcze w innym obszarze, czytamy bowiem:

Brak jest danych pozwalających na jednoznaczne stwierdzenie, że przedmiotem nieuprawnionego ujawnienia były również numery PESEL.

Przy okazji warto zwrócić uwagę, że poza imieniem, nazwiskiem, emailem, telefonami czy miastem w bazie znajdują się również adresy IP (prawdopodobnie ostatniego logowania), co w połączeniu z innymi danymi osobowymi tez może stanowić dość ciekawą informację (geolokalizacja!).

Co z tym hasłami? Z jednej strony przechowywane są one z wykorzystaniem, mówiąc lekko, niezbyt bezpiecznego algorytmu MD5, z drugiej strony system Moodle dodaje  długą sól (sól jest taka sama dla każdego konta, ale generowana z odpowiednio dużą długością podczas instalacji). Szybkość łamania samego MD5 jest ogromna (na średniej klasy maszynie > 11 miliardów prób na sekundę – patrz poniżej). Jednak użycie długiej soli praktycznie uniemożliwia złamanie tych haseł. To oczywiście przy założeniu, że sól nie wyciekła w trakcie ataku.

hashcat

W skrócie – właściciele systemu powinno jak oka w głowie strzec pliku konfiguracyjnego Moodle z zawartą tam solą.

–ms