Kto wykradł dane studentów Politechniki Warszawskiej i dlaczego ich nie sprzedaje

dodał 6 maja 2020 o 14:35 w kategorii Info, Włamania  z tagami:
Kto wykradł dane studentów Politechniki Warszawskiej i dlaczego ich nie sprzedaje

Większość incydentów, z którymi mamy do czynienia, przebiega według jednego z popularnych scenariuszy. Nawet gdy nie wiadomo, kto kradnie, to wiadomo, po co i jakie czerpie z tego korzyści. W przypadku ataku na OKNO sprawa wygląda inaczej.

Gdy w poniedziałek rano jako pierwsi ujawniliśmy i opisaliśmy wyciek danych studentów Politechniki Warszawskiej, nie mieliśmy najmniejszych wątpliwości, że do ataku faktycznie doszło, a ujawnione dane pochodzą z serwera uczelni. Ujawnione nam dane wyglądały bardzo wiarygodnie – ich fabrykowanie na taką skalę było zupełnie niepraktyczne. Dodatkowo przed publikacją potwierdziliśmy prawdziwość ujawnionych informacji z jedną z poszkodowanych w wycieku osób. Do ataku doszło zatem na 100% (co potwierdziła również Politechnika) – pytanie zatem, kto go dokonał i jaki cel mu przyświecał.

Kwestia motywacji

Różne są wycieki. Najczęstsze scenariusze to:

  • otwarta baza w internecie – ktoś miły znajduje, zgłasza, opisuje, koniec sprawy,
  • kradzież przez przestępców – sprzedają, dopóki ma wartość, potem trafia do internetu,
  • kradzież przez „hacktywistów” – publikują dla sławy lub by świat płonął.

Atak na Politechnikę Warszawską nie pasuje do żadnego z tych scenariuszy. Baza nie była „otwarta w internecie”. Włamywacz nie zaoferował danych na sprzedaż. Skąd to wiemy? Wartość danych znacząco spada, gdy ofiary wiedzą o kradzieży. Celem włamywacza było nagłośnienie incydentu, ponieważ link do wykradzionej bazy wysłał do nas i do jakiegoś innego serwisu. Gdyby chodziło o pieniądze, to nigdy nie pisałby o wycieku do dziennikarzy. Co więcej, nagłośnienie było pierwszym celem – między wykradzeniem bazy a jej wysłaniem do redakcji upłynęło zaledwie kilka godzin. W naszej ocenie można z dużym prawdopodobieństwem powiedzieć, że ta baza nie trafiła i nie trafi do sprzedaży. Wbrew krążącym po internecie plotkom, według naszej wiedzy baza nie została wystawiona na żadnym forum (jeśli się mylimy, to musicie dać linka).

Czy zatem włamywacz jest „hacktywistą”? Prawdopodobnie tak, lecz nie chce, by świat płonął. Mógł link do bazy wrzucić na Wykop czy Cebulkę – a wysłał go do redakcji, która przeprowadzi analizę i powiadomi świat, nie narażając użytkowników na uszczerbek.

Dziwne tropy

Niestety z włamywaczem nie mamy innego kontaktu niż pasywny, przez ten artykuł. Pomijając kwestie techniczne – komunikuje się z nami tak, że wiemy, że to on i nikt pod niego się nie podszywa, lecz kanału zwrotnego zasadniczo brak. Włamywacz dysponuje też sporą wiedzą i umiejętnościami IT, jednak nie wszystko, co pisze, się potwierdza.

Jakiś inny serwis podał dzisiaj informację, że wcześniej doszło już do wycieków z bazy OKNO. Oparł ją zapewne na identycznej wiadomości, jaka dotarła też do nas. Weryfikowaliśmy ją i nie jesteśmy przekonani, że jest w 100% wiarygodna. To oczywiście nie znaczy, że wcześniejszych wycieków nie było – patrzcie niżej.

W drugiej wiadomości, którą otrzymaliśmy od włamywacza, twierdzi on, że miały wcześniej miejsce analogiczne incydenty (w liczbie mnogiej). Wskazuje także na przedział czasu (okolice przełomu roku) i metodę ataku, czyli błąd SQLi w jednym z plików serwisu re.dokno.pw.edu.pl. Plik załącza do wiadomości. Informuje także, że po wykryciu incydentu plik został skasowany i nikt nie został poinformowany o incydencie. Plik daliśmy do analizy dwóm ekspertom i ich analiza wskazuje, że nie ma w nim błędu typu SQLi. Jedyny trop to odwołanie do zewnętrznej funkcji, która – być może – taki błąd posiadała. Jeśli zatem plik miał być dowodem słuszności pozostałych twierdzeń, to słaby to dowód. Anonimowy Włamywaczu, podeślij coś bardziej weryfikowalnego!

Bez wątpienia atakujący udowodnił natomiast, że posiadał dostęp do systemu plików serwisu.

Podsumowanie

Nasza analiza oparta o dane dostępne do tej chwili wskazuje, że sprawcą ataku jest ktoś, komu zależy raczej na tym, by dane studentów PW były bezpieczne, niż na tym, by trafiły w ręce prawdziwych przestępców, którzy mogliby zrobić z nich użytek. Celem włamywacza wydaje się zmotywowanie władz Politechniki Warszawskiej do położenia większego nacisku na bezpieczeństwo systemów IT przechowujących dane studentów. Do tej pory ta działka była raczej zaniedbana (za argument niech wystarczą nasze artykuły o tym, jak przejąć konto poczty studenta PW lub jak PW zareagowała na naszą publikację). Jeśli wierzyć innym informatorom, strategia włamywacza zaczęła działać:

Wiadomość od innego informatora

Pozostaje mieć nadzieję, że ten incydent będzie dobrą okazją do wymuszenia podniesienia standardów bezpieczeństwa danych na PW.

Dla studentów PW, zaniepokojonych swoją sytuacją

Niestety treść tego artykułu jest tylko trochę uspokajająca. To, że baza jeszcze nie wyciekła w ręce przestępców, nie gwarantuje, że do tego nie dojdzie. Można oczywiście mieć nadzieję, że nasza ocena sytuacji jest słuszna i dane nie trafią na czarny rynek, ale taka możliwość faktycznie istnieje i warto mieć to na uwadze, oceniając ryzyko ujawnienia danych i kroki potrzebne do ograniczenia jego skutków (zmiana haseł, wymiana dowodu osobistego, ustawienie alertów w różnych serwisach monitorujących zapytania kredytowe).

Bezpieczeństwu kont i haseł poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać sytuacji stresowych towarzyszących dzisiaj studentom i pracownikom uczelni. Do tego 23 inne tematy, ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.

Kod rabatowy
Studentom i pracownikom naukowym proponujemy kod rabatowy ZhakowaliMiUczelnie w wysokości 10%.