Wiele komunikatów o „wycieku danych” mówi o sytuacjach, gdy dane trafiły w ręce jednej niepowołanej osoby lub w takie ręce mogły trafić, a nie trafiły. Tym razem jest jednak inaczej – baza Krajowej Szkoły Sądownictwa i Prokuratury leży w internecie.
O incydencie można dowiedzieć się na wiele sposobów. Można go np. zidentyfikować samodzielnie, ale można też o nim usłyszeć od osób z zewnątrz organizacji. Pół biedy, gdy osoby te wykryły podatność i ją zgłosiły. Gorzej, gdy odkryły bazę użytkowników udostępnioną na forum przestępców…
Chronologia wydarzeń
Dzisiaj polski internet dość intensywnie zaczęła obiegać informacja o wycieku danych z bazy Krajowej Szkoły Sądownictwa i Prokuratury. Nie jest ona szczególnie świeża – ślady publicznie dostępnych informacji o tym wycieku pojawiły się już 4 dni temu, a od dwóch dni w sieci udostępniane są skany komunikatu, który rozesłały władze szkoły do osób, których dane mogły wyciec.
Dzięki wskazówce jednego z czytelników (dzięki!) natrafiliśmy na samą bazę, a data jej publikacji sugeruje pewien scenariusz wydarzeń. Ale po kolei.
Baza udostępniona została na pewnym internetowym forum już 2 kwietnia 2020.
Najstarsze wpisy w bazie pochodzą z ok. godziny 14 dnia 21 lutego 2020. Patrząc zatem na chronologię wydarzeń, można zaryzykować hipotezę o takim ich przebiegu:
- 21 lutego 2020 – ktoś uzyskuje nieuprawniony dostęp do bazy danych,
- 2 kwietnia 2020 – publikacja bazy,
- kilka dni przed 7 kwietnia 2020 – KSSIP dowiaduje się o bazie dostępnej na forum,
- 7 kwietnia 2020 – KSSIP informuje o wycieku.
Co zawiera baza
Ujawniona na forum baza ma 50 283 rekordy o częściowo zróżnicowanej zawartości. Znakomita większość zawiera:
- imię i nazwisko,
- nazwę użytkownika (nie zawsze zgodną z imieniem i nazwiskiem),
- hasz hasła (najwyraźniej solony, soli nie znaleźliśmy),
- adres e-mail (wiele prywatnych, o tym poniżej),
- numer telefonu (obecny w ok. 20% przypadków),
- nazwę instytucji, miasto (mniej niż 10%),
- daty utworzenia konta czy ostatniego logowania.
Struktura bazy wskazuje dość jednoznacznie na jej pochodzenie z popularnej platformy szkoleniowej Moodle.
Ujawniona w sieci baza nie zawiera numerów PESEL czy danych o komunikatorach, choć wspomina o nich komunikat KSSIP rozesłany do poszkodowanych. Istnieje oczywiście możliwość, że przestępcy dostali się także do innych baz instytucji – to powinien określić audyt po incydencie.
Ciekawym wątkiem są adresy e-mail. Jak wspomnieliśmy, wiele z nich to adresy prywatne. Oto lista najpopularniejszych domen:
6277 wp.pl
5668 gmail.com
1869 interia.pl
1862 o2.pl
1768 op.pl
1146 poczta.onet.pl
621 onet.pl
575 vp.pl
565 tlen.pl
461 onet.eu
459 warszawa.so.gov.pl
415 poczta.fm
279 lodz.sr.gov.pl
264 krakow.so.gov.pl
252 gazeta.pl
252 bialystok.sr.gov.pl
207 szczecin.so.gov.pl
Podsumowanie
Trzeba przyznać, że mamy do czynienia z ciekawym incydentem – wycieki danych pracowników wymiaru sprawiedliwości o takiej skali zdarzają się dość rzadko. Interesujące jest także to, że autor włamania tak szybko opublikował wykradzione informacje, zamiast je np. zaoferować na sprzedaż. Być może nie był świadom potencjalnej wartości bazy, która w rękach przestępców może okazać się dość niebezpieczna dla prokuratorów, którzy tych przestępców ścigają.
A skoro już tu jesteście
O tym, jak zabezpieczać swoje konta w serwisach internetowych opowiadamy w jednym z 25 wykładów online (łącznie 7h materiału i kolejne w produkcji). Wykłady dostępne są już dla dużych firm (korzysta z nich już ponad 5000 pracowników), a lada dzień rozpoczynamy sprzedaż dla osób prywatnych i małych firm. Chcesz dostać kod promocyjny i informacje, gdy ruszy sprzedaż? Zapisz się na listę oczekujących :)
Komentarze
Dump or just didn’t happen :P
I co z tego, nagle sędziowie są poszkodowani. Dane setek tysięcy przedsiębiorców z PESELami włącznie leżą jawnie w KRSie.
Interesujące jest że nie widzisz różnicy pomiędzy
sytuacja 1: opublikowaniem danych które ktoś podał dobrowolnie (np. ja – uruchamiając tzw. działalność gospodarczą doskonale wiedziałem że mój pesel pojawi się w internecie) i które mocno poprawiają bezpieczeństwo fizycznych transakcji (jak chcesz mi za coś wysłać pieniądze, to wiesz kim jestem a nie mogę ukryć się za anonimowym nickiem)
a
sytuacja 2: opublikowaniem danych sędziego skazującego bandytę na 25 lat więzienia, który to sędzia musi odrobinę chronić swoją prywatność żeby koleżka tegoż bandyty niekoniecznie porwał mu dziecko. A do tego dane sędziów są z natury chronione prawnie i sędzia nie miał prawa się spodziewać że ktoś niepowołany je pozna
Chyba oczywiście że widzisz doskonale różnicę a tylko sobie dla sportu trollujesz. Jeżeli tak, to przepraszam, znam drogę do wyjścia.
KeyPi
Przy zakładaniu firmy nie było mojej zgody aby publikować PESEL w internecie. Przez takie działanie dodatkowo muszę kupić kolejne usługi chociażby w BIKu aby ktoś nie wziął na mnie kredytu. Jak PESEL właściciela sp. z o.o. ma się do bezpieczeństwa transakcji? Przy zakupach w np Żabce sprawdzasz właściciela sklepu? Dlaczego dane sędziów, prokuratorów mają być z natury chronione, a przedsiębiorców nie? Przy kapitale zakładowym typu 20 mln zł też mogą mi porwać dziecko.
Nie widziałeś bo nie doczytałeś ustawy – ale to twój problem.
Dane sędziów muszą być chronione i tyle!
Rozumiem, że nasłuchałeś się nt. różnych kast itp. bzdury i nakręciła Ci się spirala niechęci do wszystkich sędziów i prokuratorów, ale jak ochłoniesz i pomyślisz, to zapewne przyznasz rację, że w interesie nas wszystkich jest chronienie bezpieczeństwa i niezależności sędziów. Ostatecznie nie ma znaczenia kogo się boi sędzia/prokurator wydając stronniczy wyrok – czy to będzie przestępca czy polityk (czasami to jedno i to samo, ale to osobny temat) – zawsze to źle dla Państwa, czyli ostatecznie dla nas.
Czy gdy ich pesele zostały by upublicznione to wreszcie zrozumieli by że prawo o możliwości brania pożyczek w Polsce jest złodziejsko nie sprawiedliwy i generuje gigantyczne problemy obywateli których dane zostały wykorzystane bez ich wiedzy? Już były przypadki, że na dane sędzi została zaciągnięta pożyczka bez jej wiedzy i też musiała walczyć i tłumaczyć, że to nie ona brała pożyczkę? Kiedy nasi prawodawcy zaostrzą procedury (koniec na dowód i w internecie) zaciągania pożyczek i wydłużą ich weryfikacje aby nie było takich sytuacji? Jeśli w tej bazie były nr pesel to chyba wreszcie sami by zrozumieją istotę problemu?
Powinny być chronione dane wszystkich, a nie tylko sędziów. Z tej też przyczyny uważam publikowanie oświadczeń majątkowych sędziów za duży błąd.
Numery PESEL nikogo nie powinny być nigdzie publikowane, również gdy ktoś prowadzi działalność.
W interesie nas wszystkich jest chronienie danych sesioow, prokuratorów. Ale już w naszym interesie nie jest chronienie swoich danych. No ciekawe, czy sędzia orzekający w sprawie pożyczki innego sędziego bedzie wyrozumiały? Pewnie Tak, i to w kilku instancjach. Czego nie rozumiesz? Kradzież danych jest będę, ale jak instytucje kradna i publikują, to już ok? Nie wiem, czy to hipokryzja, czy to krótkowzroczność, czy głupota z Twojej strony.
„opublikowaniem danych sędziego skazującego bandytę…” itd. Czyżby dane sędziego były całkowicie niejawne? Widać je na wszystkich papierach procesowych (a do tych ma dostęp zarówno podsądny, jak i jego adwokat), sędzia wypisany jest na wokandzie przed wejściem na salę, itd. Tylko wariant sadu kapturowe chroni sędziego przed rozpoznaniem.
Poprosze o msg z wiadomoscia na jakich forach mozna znalezc takie rarytasy
Czy ktoś może podać mi info na jakim forum można znaleźć link do tego wycieku? :)
Na „pewnym”. Jest przeciez w tekscie.
Mała ciekawostka co do domen mailowych – @o2.pl, @tlen.pl, @go2.pl, @prokonto.pl – wszystkie te domeny to to samo konto, pochodzące z usług mailowych o2.pl.
Tak więc usługi o2 są na 3. miejscu popularności w tym wycieku.
Rowniez Grupa o2 jest właścicielem WP.pl
Raczej odwrotnie: WP kupiło o2.
Hej, sprawdzilem – informacje o tym newsie sa wystarczajace do tego aby samodzielnie znalezc ten sam wpis na forum. Potwierdzam tez jego tresc – znalazlem tam moja rodzine. : (
Tzn gdzie znalezc? jakie to forum? :/
Potwierdzam.
@adamh
Weź to zdjęcie ekranu trochę bardziej ocenzuruj. Nie wiadomo co przyjdzie do głowy ludziom.
Jak komuś coś ma przyjść do głowy to już sobie dawno poradził.
„soli nie znaleźliśmy”
a co robi kolumna secret?
Nie wiemy, ale nie zawiera soli :)
wymagania hasła na platfromie są takie:
Hasło musi składać się z co najmniej 8 znaków, w tym co najmniej z jednej małej litery, jednej dużej litery, jednej liczby, jednego niestandardowego znaku (np. #,$,^).
Hasło nie może zawierać spacji.
dlatego nawet jeśli to jest md5($pass.$salt) proste hasła nie muszą działać
trzeba byłoby sprawdzić z kimś kto pamięta swoje hasło i chciałby udostępnić do testów
Jakbyś potrzebował hasła na testy do daj znać.
https://docs.moodle.org/23/en/Password_salting
Note: You are currently viewing documentation for Moodle 2.3. Up-to-date documentation for the latest stable version is available here: Password salting.
https://docs.moodle.org/38/en/Password_salting
Prior to Moodle 2.5 there was a single site-wide salt which was used when hashing every user’s password. From Moodle 2.5 onwards Moodle automatically generates and adds a different salt for each individual user. This is more secure and means that a site-wide configuration variable for the salt is no longer required for new installations of 2.5 or greater.
„Najstarsze wpisy w bazie pochodzą z ok. godziny 14 dnia 21 lutego 2020. (…)” Czy tu nie chodziło raczej o najnowsze wpisy?
Jak ktoś się urodził 21 lutego to jest starszy od tego, który się urodził 7 kwietnia (dla ścisłości – obie daty w tym samym roku oczywiście :-)
Nieprawdaż, Sherlock’u? ;-)
Co ma się nijak do wypowiedzi @Piotra, która słusznie zwraca uwagę, że mowa jest o najnowszych wpisach, a nie najstarszych.
@C.Bolek
Czyżbyś był mistrzem sofizmatów?
Adasiu jestem tobą rozczarowany, zawiodłeś mnie. Zrób resercz jakiś np jak oszukać miejską hulajnoge albo napisz tysiąc razy nie będę brzydko mówił o lamerach z oryndż
Ciekawostka: Wcześniej istniały dwa oddzielne systemy. Jeden do zapisywania się na szkolenia „fizyczne”, a druga do szkoleń e-learning. Na początku lutego KSSIP uruchomiła nową wersję swojej platformy szkoleniowej. Zintegrowała oba systemy i użytkownicy musieli zaktualizować swoje dane. Tematyka dostępnych szkoleń e-learning jest też ciekawa. Np. dla prokuratorów jest dostępne szkolenie dot. metodyki postępowania w przypadku przestępstw komputerowych, a w innym dot. przestępstw finansowych.
LOL, to dalej jest dostępne za pomocą podstawowych funkcji googla. Wyskakuje na 2 miejscu.
Brawo KSSIP
„Zaktualizowany komunikat w trybie art. 34 RODO z dnia 15 kwietnia 2020
podjęto czynności zmierzające do zablokowania i usunięcia możliwości rozpowszechniania skradzionych danych, poprzez zwrócenie się przez KSSiP o ich usunięcie do administratorów serwisów, które udostępniły skradzione dane;”
no to zobaczymy czy coś mogą
Te dane latają po Internecie, na różnych hostingach (na takich gdzie polskie służby mają znikome możliwości współpracy).
Trafiły też do darknetu – szansa usunięcia ich stamtąd jest w praktyce żadna.
Ciekaw jestem ile jeszcze potrzeba wycieków, żeby władze po prostu przestały budować bazy danych gwałcące prywatność ludzi!
Przecież w gruncie rzeczy przetwarzanie tam imienia i nazwiska niepotrzebne było. Wystarczyłby wewnętrznych identyfikator zatrudnionych w sądownictwie (analogiczny np. do numeru prawa wykonywania zawodu u pielęgniarek) plus hasło dostępu. Nic więcej potrzebne nie jest – powiązać taki numer z danymi osobowymi można w razie potrzeby.
W razie wycieku albo innej konieczności taki numer można łatwo zmienić. Dlatego PESEL-e i wszystkie niezmienialne dane w bazach danych to narzędzie opresji i inwigilacji, zapamiętajcie to sobie raz na zawsze: ustawodawcy, policjanci, prokuratorzy i sędziowie!
W maju będą wybory, jeśli administracja to ogarnie w co wątpię. Będziesz miał jakiś wybór, żeby zmienić naszą (swoją też) rzeczywistość. Będziesz mógł wybrać. Pamiętaj że to będzie wybór tylko pomiędzy złem większym i złem mniejszym. W naszej aktualnej polskiej rzeczywistości politycznej na tylko tyle możemy sobie teraz pozwolić.
.
Zgadzam się że dane są przechowywane w sposób karygodny i wyciek pokazał po raz kolejny że Polska to kraj z tektury. Plik z tą bazą znalazłem w 2 minuty…
Co do „opresji”, wydoroślej… Pokaż mi państwo które zrezygnowało z inwigilacji i kontroli swoich obywateli.
Nie chodzi o zabezpieczenie danych, a o ich nadmiarowe zbieranie.
Nie ma idealnych zabezpieczeń poza jednym: niezbieraniem. Taki pogląd prezentuje m.in. jeden z większych autorytetów w bezpieczeństwe komputerowym, prof. Anderson z Oksfordu – jego książki można poczytać na jego stronie: http://www.cl.cam.ac.uk/~rja14
Trzeba zlikwidować unikalne numery identyfikacyjne, rejestry meldunkowe, centralną ewidencję ludności i wszelkie inne masowe bazy danych.
One ułatwiają pracę służbom, ale tylko w łapaniu płotek. Grube przestępcze ryby wiedzą jak skutecznie urządzić się poza systemem – skutek jest taki, że przy naruszeniach poufności danych cierpią niewinni. I w tym wycieku też tak się stało.
Swoje postulaty zgłaszam co do tego jak być powinno, a nie do tego, co jest obecnie, tutaj czy za granicą.
Wysublimowany smak włamu: czy aby KSSiP nie jest jedyną (i ukochaną) placówką szkoleniową podległą bezpośrednio Ministrowi Sprawiedliwości cum Prokuratorowi Generalnemu RP (czyli jak to kiedyś mówiono: „uczelnią resortową”)?
Nie gloryfikujcie nru pesel.Za numerem stoi zawsze człowiek.Jeżeli przestępca posłuży się skutecznie moimi danymi to zrobi to przy udziale odpowiedniego urzędnika – w urzędzie czy banku.Urzędnik w takich przypadkach jest świadomy że popełnia przestępstwo.Bez poparcia urzędasa-przestępcy,peselem można sobie podetrzeć ….Nasz pesel znają w:aptekach,przychodniach lekarskich,u operatorów sieci telcom.itp.Gdyby posłużenie się peselem było takie proste to połowa społeczeństwa bała by ofiarami a połowa przestępcami.