Miałeś kiedyś konto w bibliotece? Twoje dane mogą ciągle tam być i czekać na włamywacza

dodał 17 stycznia 2018 o 17:17 w kategorii Prywatność, Wpadki  z tagami:
Miałeś kiedyś konto w bibliotece? Twoje dane mogą ciągle tam być i czekać na włamywacza

Jeden z naszych Czytelników szukał pewnej książki, dość dawno wydanej i niedostępnej już w sklepach. Postanowił sprawdzić, czy nie natrafi na nią w bibliotece, ale tak się złożyło, że zamiast książki znalazł szereg błędów.

Czytelnik do Biblioteki Śląskiej zapisał się za czasów studenckich i przez kilka lat konta nie używał. „Poszukałem na skrzynce maila z zakładania tego konta i znalazłem swój login. Jednak co mogło być hasłem? Tutaj dobrze pamiętałem – rok urodzenia. Było to hasło tymczasowe, które po zalogowaniu można zmienić, ale nie trzeba, żadnego alertu zresetuj lub zmień hasło” – opowiada Czytelnik. W tym momencie narodził się pomysł, by sprawdzić, jak wielu użytkowników przez lata nie zmieniło domyślnego hasła, nadanego przez bibliotekarza podczas zakładania karty bibliotecznej.

Hasło jak się patrzy

Z maila, który dotarł na adres redakcji, można się dowiedzieć, jak to wyglądało od strony technicznej: „Utworzyłem listę kilku loginów, startując od mojego i kończąc na loginie o sto większym (np. 101010 do 101110). Biblioteka ma system loginów 6-cyfrowych. Za pomocą prostego skryptu napisanego w Pythonie sprawdziłem sto loginów i 10 potencjalnych haseł (lata urodzenia 1970-1980). Jakie było moje zdziwienie, gdy na te 1000 kombinacji (100 loginów x 10 haseł) dostałem możliwość zalogowania się na dziewięć (9!) różnych kont”.

Czytelnika zaciekawiła skala tego zjawiska, utworzył więc listę 10000 loginów i rozszerzył zbiór możliwych haseł na lata 1960-2000. „Tutaj liczba kombinacji była już dość spora, więc musiałem zrezygnować ze swojego jednowątkowego skryptu, a skorzystać z czegoś szybszego, co poradzi sobie z kilkoma tysiącami kombinacji na sekundę i jednocześnie nie ubije serwera biblioteki” – czytamy w mailu. Zastanówcie się sami, czego mógł użyć. Czytelnik prosił nie podawać tego do publicznej wiadomości.

Czy rozwiązanie, które zastosował, przyniosło zamierzony efekt? Jak najbardziej. „Jestem przekonany, że o jakimś CDN/firewallu czy CAPTCHA przy logowaniu chyba nikt tam nie słyszał, bo system jest stary jak świat… Można przyjść i bombardować formularz, aż serwer nie umrze. Wynik był naprawdę zadziwiający, nie podam konkretnie, jaki procent kont jest podatny na ten atak, ale spory” – konkluduje Czytelnik.

Dane dostępne po zalogowaniu do systemu biblioteki

Jak widać na powyższym zrzucie ekranu, przejęcie bibliotecznego konta daje atakującemu dostęp do danych osobowych, takich jak imię i nazwisko użytkownika, data i miejsce urodzenia, imiona rodziców, numer dowodu osobistego, adres stały (czasem również tymczasowy), kierunek studiów lub zawód, adres e-mail itd. Można podejrzeć informacje o wypożyczeniach i płatnościach za zaleganie z książkami. Istnieje też możliwość zmiany adresu e-mail i hasła bez żadnej weryfikacji. „W sumie wystarczy napisać do tego prosty scrapper i przy każdej znalezionej kombinacji (login+hasło) zapisywać sobie dane, jakie chcemy, do pliku JSON, tworząc w ten sposób ciekawą bazę” – zauważa Czytelnik, podkreślając, że sam z tego pomysłu nie skorzystał. Nikomu z odwiedzających Zaufaną Trzecią Stronę nie trzeba chyba tłumaczyć, że zebrane w ten sposób dane można wykorzystać do dalszych ataków.

Biblioteka przystępuje do łatania

Na prośbę Czytelnika, który wolał pozostać anonimowy, pod koniec ubiegłego tygodnia powiadomiliśmy Bibliotekę Śląską o znalezionych przez niego błędach i sugerowanych poprawkach. Od tego czasu pozostajemy z jej przedstawicielami w kontakcie mailowym i telefonicznym. Po wstępnych wyjaśnieniach otrzymaliśmy oficjalne pismo od Agnieszki Dec-Michalskiej, Zastępcy Dyrektora ds. Administracyjno-Technicznych, które miało następującą treść: „Dziękujemy za informację dotyczącą podatności naszego systemu OPACWWW. Pragniemy poinformować, iż zgłoszenie zostało potraktowane z najwyższym priorytetem. Administrator Bezpieczeństwa Informacji wdrożył odpowiednie procedury dotyczące tego incydentu. Jednocześnie zostało wykonane zgłoszenie tego faktu do producenta oprogramowania w celu wyjaśnienia zaistniałej sytuacji oraz natychmiastowego zastosowania skutecznych zabezpieczeń”.

Prace nad wdrażaniem poprawek trwają. Jak wynika z naszych ustaleń, procedura nadawania hasła podczas zakładania karty bibliotecznej zmieniła się już jakiś czas temu (nie jest to rok urodzenia użytkownika). Niestety w przypadku starszych kont, w szczególności tych nieużywanych, hasła pozostały niezmienione, czego dowodzą przeprowadzone przez naszego Czytelnika testy. Dział Informatyczny Biblioteki Śląskiej pracuje nad rozwiązaniem tego problemu. Na razie systemowo wymuszono na użytkownikach zmianę haseł na takie o odpowiedniej złożoności. Zaimplementowano również poprawkę blokującą konto po kilkukrotnym niepoprawnym wpisaniu loginu i hasła. W opcji przypominania hasła dodano mechanizm CAPTCHA. W podobny sposób zostanie wkrótce zabezpieczony formularz aktualizacji adresu e-mail oraz logowanie do systemu.

Biblioteka Śląska w Katowicach, fot. PetrusSilesius, CC-BY-SA-3.0

W cytowanym wyżej piśmie, które do nas dotarło, znalazło się też takie zdanie: „Prosimy o zwrócenie się do Czytelnika, który odkrył lukę, by odstąpił od ewentualnego wykorzystania danych osobowych z zastrzeżeniem, iż w przypadku podejrzenia popełnienia przestępstwa zmuszeni będziemy wdrożyć procedurę powiadomienia policji o tym fakcie”. Jak już wspominaliśmy, Czytelnik nie wykorzystał w żaden sposób danych pochodzących z systemu biblioteki. Warto jednak przyjrzeć się jego testom z prawniczego punktu widzenia.

Okiem prawnika

O wypowiedź na temat ewentualnej odpowiedzialności karnej za szukanie luk w systemach poprosiliśmy Beatę Marek, prawniczkę specjalizującą się w kwestiach bezpieczeństwa danych, autorkę serwisów Cyberlaw.pl oraz Pomocnik RODO. Uzyskany komentarz publikujemy w całości:

27 kwietnia 2017 r. weszła w życie nowela kodeksu karnego, a razem z nią wprowadzono istotne zmiany w art. 269b KK oraz 269c KK. Wydaje się, że w tym konkretnym przypadku będzie można mówić o tym, że przestępstwo, o którym mowa w art. 269b §1 KK

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej,

nie zostało popełnione, gdyż z relacji Czytelnika wynika, że działał wyłącznie w celu zabezpieczenia systemu teleinformatycznego i dla opracowania metody takiego zabezpieczenia. Co prawda, kontrowersyjne jest to, że poinformował redakcję, a nie bezpośrednio administratora sieci. Jeżeli Czytelnik nie wykorzystał w żaden sposób danych, jego działanie nie spowodowało przestojów czy ewentualnie nie wygenerowało dodatkowych luk, to można uznać, że działanie to nie naruszyło ani interesu publicznego, ani prywatnego i nie wyrządziło szkody. Było działaniem w dobrej wierze. Dla administratora systemów to oczywiście incydent i po 25 maja 2018 r. o takim naruszeniu bezpieczeństwa danych będzie trzeba informować organ nadzorczy. Zasadne byłoby także poinformowanie podmiotów danych, na których konto dość łatwo można było się włamać.

Przypadek ten pokazuje jeszcze jedną ważną rzecz. Testowanie bezpieczeństwa to nieodłączny element pracy systemów. Już na poziomie umowy o wykonanie/wdrożenie systemu należy zapisać, że rozwiązanie będzie przetestowane pod kątem bezpieczeństwa IT. Może to być dokonane przez wykonawcę, ale zawsze lepiej przez stronę trzecią (niezależną). Podobnie jeśli jest utrzymanie. Warto na to już teraz zwrócić uwagę, bo RODO wprowadza obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania + zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Firmy, które nie będą się „sprawdzać” pod kątem zabezpieczeń, mogą mieć nie tylko problemy związane z incydentami, ale też w trakcie kontroli organu nadzorczego nie będą mogły wykazać, że prawidłowo przestrzegają art. 32 RODO.

Wygląda na to, że Czytelnik, który odkrył luki, może spać spokojnie. Nie da się tego niestety powiedzieć o osobach, których dane mogły zostać z systemu wyciągnięte. To, że nie zrobił tego nasz Czytelnik, nie oznacza, że nikt tego nie zrobił, znalezione przez niego błędy istniały bowiem w systemie od dawna. Po naszej interwencji zostaną załatane, przynajmniej w tej konkretnej bibliotece, warto jednak pamiętać, że nie tylko ona stosuje OPAC (ang. Online Public Access Catalog). Jeśli zapisywaliście się więc do jakiejś biblioteki, a teraz z niej nie korzystacie, upewnijcie się, że przechowywane tam dane są dobrze zabezpieczone, lub po prostu usuńcie konto.