Od jednego z naszych czytelników, Łukasza, otrzymaliśmy informację o poważnej luce w systemach Agencji Nieruchomości Rolnych. Okazuje się, że błędnie skonfigurowany skrypt ujawnia PESEL, adres, dane osobowe oraz hasła użytkowników systemu.
Łukasz przekazał nam adres URL, pod którym można wyświetlać pliki xml, zawierające dane użytkowników Elektronicznej Skrzynki Podawczej, obsługiwanej przez Agencję Nieruchomości Rolnych. Zmieniając liczbowy parametr na końcu adresu, możemy poznawać dane kolejnych osób. Spójrzmy, jakie dane są ujawniane.
Widzimy zatem, że system przechowuje (i udostępnia każdemu chętnemu) takie dane jak:
- imię i nazwisko
- dokładny adres
- nr PESEL
- adres email
- numer telefonu
- hasło zapisane otwartym tekstem
Wykorzystując adres email oraz hasło zapisane otwartym tekstem, atakujący może zalogować się do konta Elektronicznej Skrzynki Podawczej ofiary oraz zapoznać się z treścią zgłoszonych przez nią spraw oraz otrzymanych odpowiedzi. Przedział wartości identyfikatorów, dla których system zwraca dane, sugeruje, że zagrożonych może być kilkadziesiąt tysięcy nieświadomych użytkowników.
Co może bulwersować bardziej, niż takie właśnie niefrasobliwe skonfigurowanie systemu? Otóż szukając informacji o tym błędzie natrafiliśmy w sieci na wpis sugerujący, że problem jest znany od co najmniej 8 sierpnia tego roku. Nie zamieszczamy tutaj linka do rzeczonego wpisu, ponieważ zawiera on pełną informację o ścieżce dostępu do danych.
Firma Rodan, wdrażająca platformę OfficeObjects, której błąd konfiguracyjny (bo nie chcemy wierzyć, że zamierzona konfiguracja) powoduje ujawnienie danych użytkowników, posiada listę referencyjną, zawierającą ponad 80 instytucji rządowych i samorządowych. Ciekawe, czy bezpieczeństwo Elektronicznej Skrzynki Podawczej i danych jej użytkowników w tych instytucjach wygląda tak samo jak w Agencji Nieruchomości Rolnych.