Poważny wyciek informacji z firmy InPost – dane ponad 50 tysięcy osób, hasła

dodał 23 sierpnia 2017 o 23:15 w kategorii Włamania, Wpadki  z tagami:
Poważny wyciek informacji z firmy InPost – dane ponad 50 tysięcy osób, hasła

W sieci pojawił się wczoraj zrzut bazy danych należącej do firmy InPost. Baza zawiera między innymi szczegółowe dane ponad 50 tysięcy pracowników i współpracowników oraz informacje o współpracy z organami ścigania.

Na najpopularniejszym polskojęzycznym forum w sieci Tor, zwany Cebulka, pojawił się wczoraj wpis nowego użytkownika, który twierdził, że włamał się do systemów firmy InPost. Na dowód swoich słów zamieścił linka do danych wykradzionych z serwerów firmy. Dane niestety wyglądają wiarygodnie. Tak wyglądał wpis użytkownika hackmachine:

 

Pozostałości po włamie do sieci inpostu, w paczace takie rzeczy jak:
– baza danych portalu od administracji bezpieczeństwem informacji (o ironio):
* spis pracowników w tym: imię, nazwisko, pesel, seria dokumentu, data rozpoczęcia i zakończenia pracy + numery telefonów i adresy skrzynek e-mail tych ważniejszych
* spis budynków należących do firmy, w tym dokładny opis zabezpieczeń fizycznych
* od zajebania innego gówna
– screen z ustawieniami konsoli do zarządzania paczkomatami (miejsce gdzie przechowywane są dane do paczek)
– dane logowania do dwóch serwerów smtp

Miałem jeszcze dostęp do bramki sms z której można było wysyłać smsy jako paczkomat albo inpost oraz podgląd smsów z informacji do odbioru paczki, ale został już sprzedany.
Nie gwarantuję aktualności powyższych danych z racji tego, że włam miał miejsce lekko ponad miesiąc temu.

Zawartość pliku bazy danych o rozmiarze ponad 200 MB wskazuje, że dane pochodzą z systemu E-ABI, obsługującego (co nieco w tej sytuacji ironiczne) obszar ochrony danych osobowych. Szybki przegląd zawartości bazy pozwala na stwierdzenie, że zawiera ona między innymi w różnych tabelach dane osobowe:

  • dane ponad 57 000 osób upoważnionych do przetwarzania danych osobowych, pracowników i współpracowników firmy (imię, nazwisko, PESEL, nr dowodu osobistego, data zatrudnienia, data zwolnienia – dane sięgają wstecz co najmniej do roku 2009 a kończą się 3 lipca 2017),
  • dane ok. 2000 osób zawierające imię, nazwisko, numer dowodu osobistego, adres zamieszkania, numer PESEL i kod pracownika (nie wszystkie pola są wypełnione dla każdego pracownika).

Drugim krytycznym obszarem danych są informacje o współpracy firmy z organami upoważnionymi do pozyskiwania danych – np. jednostkami policji, prokuratury, urzędami celnymi itp. W bazie można znaleźć między innymi:

  • spis ok. 26 000 plików zawierających pisma od różnych organów, gdzie nazwy wskazują często na podmiot składający zapytanie oraz sygnaturę sprawy,
  • sygnatury ok. 6 000 spraw, gdzie trafiają się pozycje typu „monitorowanie przesyłek dla xxx xxx”,
  • listę podmiotów takich jak jednostki policji czy prokuratury.

Trzecim, chyba najbardziej kuriozalnym fragmentem, są listy użytkowników systemów wraz z ich hasłami zapisanymi otwartym tekstem:

  • lista ponad 100 uzytkowników, głównie z banków (sądząc po adresach email), wraz z ich jawnymi hasłami,
  • dane ponad tysiąca użytkowników najwyraźniej innego systemu (różne adresy email) wraz z hasłami i nazwami domenowymi wskazującymi na adresy IP, z których łączyli się z systemem,
  • dane ponad 200 użytkowników (tym razem z wewnątrz firmy) najwyraźniej jeszcze innego systemu z hasłami otwartym tekstem.

Oprócz tego baza zawiera dane wymagane przez ustawodawcę takie jak:

  • dane firmowych biur wraz z opisem używanych zabezpieczeń fizycznych (np. „niski parter(piwnica), instalacja alarmowa, szyby i drzwi antywłamaniowe, ochrona doraźna” lub „podwójne zamki w drzwiach, monitoring z kamer zewnętrznych”,
  • spis przetwarzanych zbiorów danych,
  • lista kontrahentów (ponad 30 tysięcy pozycji),
  • spis umów (ponad 70 tysięcy pozycji).

Na samym końcu bazy znajdziemy także tablicę o nazwie `teges_lista`, zawierającą najwyraźniej imiona i nazwiska ok. 140 klientów (nie wiemy, czy nadawców, czy odbiorców), którzy powiązani są z paczkami nadanymi 30 czerwca 2017 wraz z numerami przesyłek. Nie mamy pojęcia jaki był cel zamieszczenia tej tablicy.

Włamywacz opublikował także zrzut ekranu konsoli zarządzającej:

oraz dane uwierzytelniające do dwóch serwerów SMTP.

Podsumowanie

O incydencie poinformowaliśmy niezwłocznie InPost, jak zawsze – mimo sezonu urlopowego – kontakt był ekspresowy. Wpis zaktualizujemy jak tylko otrzymamy komentarz firmy. Niestety wygląda na to, ze incydent jest dość poważny. Na szczęście w nieszczęściu w największej części dotyka on samych pracowników firmy, a nie jej klientów. Warto tez zauważyć, że wydarzył się jeszcze przed wejściem w życie drakońskich kar przewidzianych w RODO – za kilkanaście miesięcy jego skutki mogły być dużo dla firmy dotkliwsze.

Aktualizacja 2017-08-24 9:20  – mamy już stanowisko InPost

Opisywana sprawa dotyczy incydentu z zakresu bezpieczeństwa danych naszych pracowników z połowy ubiegłego miesiąca. Co ważne, bezpieczeństwo danych naszych klientów nie zostało w jakikolwiek sposób naruszone. Incydent ten został zgłoszony na Policję, obecnie prowadzone jest śledztwo w sprawie podejrzenia popełnienia  przestępstwa więc o szczegółach nie możemy informować. Dział Bezpieczeństwa InPost niezwłocznie podjął odpowiednie działania zabezpieczające.

Za informację dziękujemy anonimowemu Czytelnikowi.