Pani minister wrzuciła zdjęcie, dziennikarz wszedł na tajne spotkanie
Myśleliśmy, że po tylu miesiącach pracy zdalnej wszyscy nauczyli się już, że nie należy bezrefleksyjnie wrzucać do internetu zdjęć ekranów telekonferencji, zawierających hasła dostępowe. Niestety najwyraźniej minister obrony Holandii o tym zapomniała.
Większość narzędzi do pracy zdalnej nie pokazuje już parametrów dostępowych na ekranie spotkania – zbyt wiele wcześniej było przypadków nieautoryzowanego dostępu po tym, jak ktoś nierozważnie udostępnił zdjęcie ekranu. Mimo tego dziennikarz holenderskiej telewizji RTL dostał się na spotkanie ministrów obrony Unii Europejskiej.
Zdjęcie na dowód, że pracuje
Holenderska minister obrony Ank Bijleveld przebywa obecnie na kwarantannie. Chciała pokazać światu, że mimo tego pracuje i wrzuciła na swojego Twittera usunięte już zdjęcie.
Informację o feralnym zdjęciu podesłał do redakcji RTL anonimowy informator. W pasku przeglądarki, utrwalonym na fotografii, znaleźć można nie tylko adres serwera, ale także 5 z 6 cyfr kodu dostępowego. Dziennikarze postanowili spróbować zgadnąć brakującą cyfrę – i po kilku próbach się udało.
Ku zaskoczeniu redakcji, okazało się, że dostęp do spotkania nie jest w żaden dodatkowy sposób zabezpieczony. Czego zabrakło? Zapewne:
- filtrowania po adresach IP,
- certyfikatów w przeglądarkach lub innej formy dwuskładnikowego uwierzytelnienia,
- powiązania tożsamości z uwierzytelnieniem (link był uniwersalny).
Wystarczyła znajomość adresu konferencji i można było dołączyć do rozmowy ministrów obrony. Co więcej, początkowy komunikat władz mówił, że adres nie pozwalał na dostęp do spotkania – dopóki dziennikarz nie pokazał, że był zalogowany i mógł rozmawiać z ministrami.
Podobno przedstawił się od razu po dołączeniu do konferencji i wkrótce ją opuścił. Samo spotkanie zostało zakończone z powodu naruszenia jego poufności, a dziennikarz usłyszał, że naruszył przepisy i mogą zostać wobec niego wyciągnięte konsekwencje.
W naszej ocenie konsekwencje trzeba raczej wyciągnąć wobec osób projektujących taką architekturę bezpiecznych spotkań ministrów obrony.
W Polsce też się zdarza
W naszym szkoleniu o bezpieczeństwie pracy zdalnej pokazujemy też zrzut ekranu z konferencji premiera Polski z przedsiębiorcami – na szczęście tu w pasku adresu nie ma kodu dostępu. Ktoś pomyślał, by uchronić uczestników przed ich błędami.
Podobne wpisy
- Poważny błąd Onetu pozwalał pobrać pocztę i dane użytkowników
- Jak Prokuratura Okręgowa nieudolnie próbowała anonimizować dowody w sprawie Sławomira N.
- Jak ponownie mogliśmy poznać hasło do bazy serwisu Albicla.com
- Jak można było pobrać bazę użytkowników serwisu Albicla.com
- Jak czytelnik zorientował się, że jego konto w mBanku nie jest już jego
„W naszej ocenie konsekwencje trzeba raczej wyciągnąć wobec osób projektujących taką architekturę bezpiecznych spotkań ministrów obrony.” a w mojej oprócz tego, należałoby wywalić również ministrów, którzy otaczają się takimi projektantami.
Nie popadajmy w przesadyzm. Idąc tym tokiem rozumowania należałoby rozwiązać Parlament, wywalić Prezydenta i rozpisać nowe, ogólnokrajowe wybory. Bo jakiś programista popełnił błąd w URL.
W sumie to nawet byłby za
A nawet wywaliłbym wszystkich pracowników elektrowni, która dostarczała prąd, i jej konstruktorów do piątego pokolenia wstecz. A co, jak bezpieczeństwo to bezpieczeństwo.
Ech, ludzie…
Skoro można ścigać właściciela lokalu który został wykorzystany do ustawienia „jednorękich bandytów”, albo kierowcę za nieudzielenie pomocy to dlaczego nie można ścigać ministra za brak nadzoru?
Taki brak ścigania wyczerpuje już znamiona zorganizowanej grupy przestępczej czy jeszcze nie?
Fajny przykład, jako argument za nieumieszczaniem istotnych danych w adresie URL. Lepiej przemawia do wyobraźni, niż klasyczny argument, że URL ląduje w logach. Dzięki.
I tym sposobem ministrowie coś omawiają. Dostawcy usług internetowych (np. właściciele, operatorzy platformy on-line) dostają wszystko na tacy, a obywatele i prasa nic nie wiedzą. Ciekawa dystrybucja informacji i krąg odbiorców.
Cześć.
To szkolenie bezpieczeństwa było robione na Cisco CMS Policji. Tam też dostajesz link z zawartym hasłem i ID pokoju (w CMS nazywa się SPACE) ale web serwer CMS’a ukrywa je później.
W Polsce mielibyśmy do czynienia z kontratypem z art. 269c. Ktoś wie, jak się sytuacja ma we Francji?
Art. 269c. KK ofc.
Zawsze programista winny. A gdzie tester? Gdzie QA? Co jest w przetargu?
QA? QAnon jest na 4chanie a co?
Ale co w tym dziwnego? Na zachodzie poziom polityków i pracowników budżetówki jest taki sam jak i u nas. Wystarczy poczytać szpitalu narodowym lub budowie lotniska w Berlinie.