Australijski CERT zgubił dane uczestników programu bezpieczeństwa

dodał 9 lipca 2012 o 18:36 w kategorii Wpadki  z tagami:
Australijski CERT zgubił dane uczestników programu bezpieczeństwa

Zgubić dane zdarza się każdemu. Tysiące nośników zmieniają codziennie właścicieli. Nie co dzień jednak organizacja powołana do reagowania na incydenty gubi dane uczestników programu podnoszenia bezpieczeństwa korzystania z internetu.

Nauczymy Was, jak bezpiecznie przesyłać dane

Rząd Australii prowadzi serwis internetowy Stay Smart Online, którego celem jest promowanie bezpiecznego korzystania z internetu przez obywateli tego kraju oraz edukowanie użytkowników o ryzykach związanych z korzystaniem z sieci i dostępnych metodach zabezpieczeń. Jednym z elementów serwisu jest możliwość dodania swojego adresu email do listy powiadomień o nowych zagrożeniach w sieci. Dzięki tej usłudze można otrzymywać bieżące informacje o dostępnych aktualizacjach oprogramowania, najnowszych wirusach czy oszustwach w sieci.

Strona główna serwisu Stay Smart Online

Ups, coś nam zginęło

Kilka dni temu użytkownicy serwisu otrzymali ciekawą wiadomość. Okazało się, że ich dane, nagrane na płytę DVD i wysłane pocztą, nigdy nie dotarły do adresata. W związku ze zmianą firmy odpowiedzialnej za tworzenie serwisu, jego poprzedni administrator, najstarszy australijski zespół reagowania na incydenty AusCERT, nagrał wszystkie dane na płytę i przesłał ją pocztą do ministerstwa. Niestety ministerstwo nie otrzymało przesyłki. Na płycie znajdowały się dane ok. 8000 osób, zawierające takie informacje jak imię, nazwisko, pytanie pomocnicze oraz hash hasła. Co ciekawe, mimo iż AusCERT otrzymał za cztery lata prowadzenia witryny ok. 1,2 mln dolarów, to dane użytkowników wysłał zwykła pocztą, zamiast listem poleconym. Z tego powodu ustalenie lokalizacji przesyłki okazało się niemożliwe.

Podsumowanie

Jakby w tej sprawie wpadek było mało, linki w wiadomości otrzymanej przez poszkodowanych uczestników nie były linkami bezpośrednimi, tylko wskazywały na serwis przekierowujący adresy (zupełnie jak w wiadomości phishingowej), a wiadomość na koniec odsyłała do zasad bezpieczeństwa haseł zamieszczonych na witrynie, z której dane wyciekły. Pomijamy już pytanie, czemu dane wysłane zostały na płycie DVD, zamiast elektronicznie oraz czemu nie były zaszyfrowane. Szewc, co bez butów chodzi i lekarzu, lecz się sam w jednym.