Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

ZUS wysyłając maile do (części) przedsiębiorców nie ukrył adresów e-mailowych innych osób

09 kwietnia 2020, 15:11 | W biegu | 1 komentarz
Tagi: ,

Z kronikarskiego obowiązku zaznaczamy ten temat. Dostaliśmy od kilku czytelników stosowną informację, a stosowny wątek pojawił się też na Wykopie.

Sam mail o którym mowa nie zawierał żadnych poufnych informacji – ot, powiązane z tarczą antykryzysową formularze, choć problematyczne było dołączenie na kopii (a nie na ukrytej kopii – jak być powinno) – adresów mailowych przedsiębiorców. Ciekawostką jest, że wszystkie zgłoszenia które widzieliśmy zawierały tylko e-maile na literę a. Maile były wysyłane z różnych oddziałów (Warszawa, Rybnik, …) – sugeruje użycie pewnego automatu (chyba nikt ręcznie nie kopiowałby dziesiątek tysięcy(?)) maili.

 

Warto zaznaczyć, że ZUS szybko zareagował na problem i kolejne maile wysyłane były już poprawnie (można więc pewnie założyć, że udostępnionych został tylko pewien procent maili zaczynających się na literę a). W sieci można też znaleźć przeprosiny ZUSu z informacją, że takie działanie jest „niedopuszczalne”.

Inną problematyczną rzeczą może być brak odpowiedniego szyfrowania maili przez ZUS na poziomie komunikacji serwerów pocztowych:

Zdjęcie za @baetky na wykopie

O co tutaj dokładnie chodzi? Google wyjaśnia to w tym miejscu. Tj. niemal w każdym mailu zobaczycie tzw. szarą kłódkę (czyli szyfrowanie TLS pomiędzy serwerami pocztowymi)

A jeśli ktoś wysyła pocztę bez TLS-a to pojawi się właśnie wyżej wspomniana kłódka czerwona. Takie maile są zatem wysyłane przez Internet w formie jawnej. I znowu – i tak w tym mailu nie było nic poufnego – więc tu nie jest to duży problem. Gorzej w przypadku gdy kiedyś w przyszłości będzie wysyłana jakaś wrażliwa treść. Polecamy więc zrekonfigurować nieco wysyłacza poczty tak żeby wymuszał połączenie TLS do zewnętrznych serwerów pocztowych (to oczywiście uwaga do ZUS).

PS
Jeśli z kolei chcecie posłuchać trochę o szyfrowaniu poczty za pomocą PGP – zerknijcie na nagranie naszego webinaru.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Adam

    Znaczy się można teraz skorzystać z tej listy i pozostałym adresatom wysłać zaproszenie do zapoznania się z ofertą?
    A jak zapytają skąd mam ich maila, to zgodnie z prawdą odpowiem, że ZUS mi udostępnił.

    Odpowiedz

Odpowiedz