Pani minister wrzuciła zdjęcie, dziennikarz wszedł na tajne spotkanie

dodał 21 listopada 2020 o 07:59 w kategorii Włamania, Wpadki  z tagami:
Pani minister wrzuciła zdjęcie, dziennikarz wszedł na tajne spotkanie

Myśleliśmy, że po tylu miesiącach pracy zdalnej wszyscy nauczyli się już, że nie należy bezrefleksyjnie wrzucać do internetu zdjęć ekranów telekonferencji, zawierających hasła dostępowe. Niestety najwyraźniej minister obrony Holandii o tym zapomniała.

Większość narzędzi do pracy zdalnej nie pokazuje już parametrów dostępowych na ekranie spotkania – zbyt wiele wcześniej było przypadków nieautoryzowanego dostępu po tym, jak ktoś nierozważnie udostępnił zdjęcie ekranu. Mimo tego dziennikarz holenderskiej telewizji RTL dostał się na spotkanie ministrów obrony Unii Europejskiej.

Zdjęcie na dowód, że pracuje

Holenderska minister obrony Ank Bijleveld przebywa obecnie na kwarantannie. Chciała pokazać światu, że mimo tego pracuje i wrzuciła na swojego Twittera usunięte już zdjęcie.

Informację o feralnym zdjęciu podesłał do redakcji RTL anonimowy informator. W pasku przeglądarki, utrwalonym na fotografii, znaleźć można nie tylko adres serwera, ale także 5 z 6 cyfr kodu dostępowego. Dziennikarze postanowili spróbować zgadnąć brakującą cyfrę – i po kilku próbach się udało.

Ku zaskoczeniu redakcji, okazało się, że dostęp do spotkania nie jest w żaden dodatkowy sposób zabezpieczony. Czego zabrakło? Zapewne:

  • filtrowania po adresach IP,
  • certyfikatów w przeglądarkach lub innej formy dwuskładnikowego uwierzytelnienia,
  • powiązania tożsamości z uwierzytelnieniem (link był uniwersalny).

Wystarczyła znajomość adresu konferencji i można było dołączyć do rozmowy ministrów obrony. Co więcej, początkowy komunikat władz mówił, że adres nie pozwalał na dostęp do spotkania – dopóki dziennikarz nie pokazał, że był zalogowany i mógł rozmawiać z ministrami.

Podobno przedstawił się od razu po dołączeniu do konferencji i wkrótce ją opuścił. Samo spotkanie zostało zakończone z powodu naruszenia jego poufności, a dziennikarz usłyszał, że naruszył przepisy i mogą zostać wobec niego wyciągnięte konsekwencje.

W naszej ocenie konsekwencje trzeba raczej wyciągnąć wobec osób projektujących taką architekturę bezpiecznych spotkań ministrów obrony.

W Polsce też się zdarza

W naszym szkoleniu o bezpieczeństwie pracy zdalnej pokazujemy też zrzut ekranu z konferencji premiera Polski z przedsiębiorcami – na szczęście tu w pasku adresu nie ma kodu dostępu. Ktoś pomyślał, by uchronić uczestników przed ich błędami.