Prawa jazdy, dowody rejestracyjne, polisy były dostępne w sieci
Zebranie dokumentów od klientów nie jest specjalnie trudne. Nieco trudniejsze jest jednak zapewnienie bezpieczeństwa zebranych danych, o czym przekonała się firma eRzeczoznawcy, a pośrednio także jej klienci.
Nowe technologie są wygodne. Można w kilka minut postawić swoją infrastrukturę w chmurze, przechowywać tam dziesiątki tysięcy dokumentów, nie martwić się o nic. Gorzej, że może się okazać, że te kilkadziesiąt tysięcy dokumentów, zawierających dane osobowe klientów, może pobrać każdy internauta…
Wyszukiwarka kubełków
Jednym z najpopularniejszych sposobów składowania plików w sieci jest używanie „kubełków” Amazona (Simple Storage Services – Amazon buckets), czyli usługi składowania danych przez webserwisy. Usługa jest prosta, tania i przez to także popularna. Zdarza się jednak (i to dość często), że ktoś nieprawidłowo ustawi uprawnienia do swojego kubełka. Aby zwiększyć świadomość administratorów ktoś stworzył publiczną wyszukiwarkę otwartych kubełków. Zajrzeliśmy do niej niecały miesiąc temu i już przy trzecim sprawdzanym słowie kluczowym trafiliśmy na bardzo niepokojący wynik.
Naszym oczom ukazała się lista ponad 46 000 plików, zamieszczonych w sieci przez firmę eRzeczoznawcy. Na pierwszy rzut oka pliki wyglądały na dokumentację związaną ze szkodami motoryzacyjnymi. Foldery pełne były wycen, polis, raportów z wypadków, a także skanów kilku rodzajów dokumentów. Poniżej krótka ilustracja zanonimizowanej zawartości. Wśród kilkudziesięciu tysięcy plików można było znaleźć liczne skany dowodów osobistych:
praw jazdy:
czy dowodów rejestracyjnych:
z całej Polski. Dokumenty pochodziły z ostatnich kilkunastu miesięcy.
Interwencja udana, ale nie do końca
Oczywiście problem natychmiast zgłosiliśmy na podstawowy adres firmy, do której należał serwer. Pierwszego dnia nie dostaliśmy odpowiedzi, zatem eskalowaliśmy na kolejne znalezione adresy i drugiego dnia otrzymaliśmy wiadomość od Wspólnika Zarządzającego, pana Mariusza Królewicza, który poinformował, że faktycznie problem istnieje i firma podjęła już kroki, by go usunąć. Istotnie, krótko potem dostęp do plików został zablokowany.
Poprosiliśmy zatem o informację, czy firma zawiadomi o incydencie UODO oraz swoich klientów. W odpowiedzi przeczytaliśmy:
Jesteśmy micro firmą wyłącznie z polskim kapitałem na dzień dzisiejszy zrobiliśmy wszystko, żeby nigdy nie doszło do podobnego przypadku. Obecnie w miarę możliwości po zabezpieczeniu wszystkich danych, pilnie pracujemy nad ustaleniem skali problemu i listy poszkodowanych. A zaraz po tym zgodnie z prawem zawiadomimy odpowiednie organa.
Kilka dni temu, szykując artykuł, poprosiliśmy o aktualizację statusu i w kwestii formalności usłyszeliśmy:
Podjęliśmy wszystkie czynności przewidziane prawem.
Zapytaliśmy ponownie, tym razem wprost, czy firma poinformowała o incydencie swoich klientów, których dane mogły zostać ujawnione, ale na to pytanie nie otrzymaliśmy już odpowiedzi.
Jeśli zatem byliście klientami eRzeczoznawcy.pl, dajcie znać, czy firma się z Wami skontaktowała – może w ten sposób ustalimy stan faktyczny. A gdybyście kiedyś natrafili na jakiś polski kubełek z danymi, które nie powinny być dostępne publicznie, to wiecie, gdzie to zgłosić, by problem został sprawnie rozwiązany.
Podobne wpisy
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Ataki rosyjskich szpiegów na polskie placówki dyplomatyczne wykryte i opisane przez CERT Polska i SKW
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Jak złamano hasła ofiar wycieku danych z KSSiP?
- ABW ocenzurowało stronę publikującą e-maile rządu ze skrzynki pocztowej ministra Dworczyka
Nawet duże firmy mają problem z ustawieniami „kubełków”
Poniżej artykuł z lutego tego roku:
https://www.scmagazine.com/open-aws-s3-bucket-exposes-private-info-on-thousands-of-fedex-customers/article/744812/
A ja w dalszym ciągu uważam, że żadne tam chmury, żadne VPSy, żadne kubełki bo mimo wygody i praktyczności jak takie coś grzmotnie – to z hukiem.
W takich kwestiach postawiony przez łebskiego admina własny serwer w LAN dostępny przez VPN to najlepsze wyjście.
Ja dla pewności najważniejsze dane trzymam na dyskietkach, a do zarządzania nimi zatrudniłem niewidomego karła bez nogi.
Żaden domorosły „łebski admin” nie postawi usługi tak bezpiecznej i tak stabilnej jak chmura amazona. Przyczyną wycieku w tym wypadku nie jest błąd chmury, ale błąd osoby która nią zarządza. Nie wiem dlaczego wykluczasz możliwość podobnej pomyłki u osoby która sama postawi „własny serwer w LAN dostępny przez VPN”
A czym się różni grzmotnięcie „chmury” zabezpieczonej domyślnie, przez dziesiątki specjalistów, od grzmotnięcia własnego rozwiązania, zabezpieczonego przez jedną (lub kilka) osób?
Domyślne ustawienia w AWS’ie blokują wszystko, żeby takie rzeczy wystawić na świat, trzeba to zrobić ręcznie. A takie usługi wystawione na świat to nic innego jak brak wyobraźni. Taki sam kiedy ludzie wyprzedzają na zakrętach i inne.
Dokladnie tak. Zapewnie nie potrafili tak skonfigurowac systemu zeby gadal z ogranicznonym S3 wiec najprosciej bylo wylaczyc ograniczenia. Przeciez nikt nie znajdzie naszego S3 o nazwie erzeczoznawcy-costam-gdziestam-nazwafirmy
Można trzymać w chmurze, ale zaszyfrowane po stronie klienta. Dobry algorytm szyfrowania (AES, Twofish lub Serpent), porządny algorytm haszowania hasła (Argon2) ustawiony z odpowiednimi parametrami i dane są bardzo bezpieczne.
Widać u ciebie wiarę w „dziesiątaki specjalistów”. Pytanie jakie dziesiątki ich są. I jakich specjalistów.
Praktyka pokazuje że często to jeden naprawdę dobry gość który ma pod sobą dwóch słabszych a oni kilkudziesięciu przeciętnych. Czasem nawet jest gorzej. Jeden przeciążony admin robi za wielu niedouczonych. I ten problem nie dotyka tylko małych firemek i wcale duże firmy nie są gwarantem odpowiedniej kadry.
Kolejnym ryzykiem jest rozproszenie. Mają dziesiątki specjalistów więc i dziesiątki osób mogących popełnić błąd albo dane ukraść.
Poza tym „dziesiątki specjalistów” są po stronie dostawcy.
Po naszej stronie musimy mieć łebskiego administratora który musi nam zabezpieczyć taką chmurę (prawidłowo skonfigurować). Połączenie z nią z zasobów firmy. No i samą infr firmy. Więc dokładamy mu koniecznej wiedzy. Dodatkowo taka chmurka cały czas się zmienia. Wiec on musi się z nią uczyć.
Więc nawet źle skonfigurowana usługa lokalna zabezpieczona prawidłowo skonfigurowanym VPN może być bezpieczniejsza od czegoś w chmurce.
Tyle wstępu a teraz praktyka.
Przychodzi się do firmy i słucha czego chcą.
słucha
słucha
…
….
…..
……..
słucha…..
A potem podaje jak to zrobić i ile będzie kosztowało.
Po czym słyszysz sakramentalne… A można by taniej?
Na czym oszczędzisz? Za chmurę zapłacisz i ceny nie zbijesz.
No to oszczędzimy na czasie wdrożenia. Więc ktoś musi to zrobić…
SZYBCIEJ. Czegoś musi nie zrobić.. Na coś nie starczy czasu.
Albo łebski admin zrobi to w ramach zabawy w Matkę Teresę.
I tu jest prosta sprawa. Jak jest łebski uprze się żeby zabezpieczyć porządnie połączenie z firmą końcówek. Wdroży chmurkę wewnątrz sieci. I mamy względnie bezpieczne dane.
Tu dochodzi kolejny smaczek.
W większosci mikro firm nie ma administratora ani nawet chęci płacenia za stałą obsłógę. Więc nawet jak wydadzą na porządne wdrożenie to potem tatki „łebski” będzie miał okazję z tym coś robić jak padnie. I znowu coś co jest wewnątrz firmy ma szanse przetrwać nie zaatakowane „przypadkiem” jak tu. Jak masz chmurę to szanse spadają wielokrotnie.
Dla firm z małym budżetem na pewno lepsza jest infr. własna. Chmura nie ściąga z firmy obowiązku posiadania kogoś kto to będzie administrował. Ja się będę upierał że nawet wymusza posiadanie kogoś kto będzie cały czas śledził zagrożenia i reagował.
Kluczowy problem jest w stwierdzeniu „jesteśmy mikro firmą”
A chmura jakie się jako coś co może prezes przed śniadaniem wyklikać. A takiej firmy nie stać na zatrudnienie 20 specjalistów którzy wdrożą prawidłowo wszelkie kawałki układanki.
Problem jest kolosalny bo zasoby wiedzy potrzebne żeby coś wdrożyć sa olbrzymie i czas potrzebny na zgłębienie tematów ograniczony.
Zarabiać kiedyś trzeba a żeby być fachowcem należało by mieć jeden etat na pracę i półtora na ciągłe doszkalanie.
Większość fachowców się któregoś dnia budzi i stwierdza że już nie czai bazy że technologia im ucieka.
Przykład na bierząco.
Wdrożeniowiec oprogramowania wchodzi do firmy pokazuje system i mówi trza tylko zrobić se serwer i dostęp do niego. Ale nie oni tego nie robią. Na moje pytanie o zabezpieczenia było tylko głuche yyyyyy. Do tej pory się nie dowiedziałem jak to robią gdzie indziej.
I teraz dylemat. Jak wdrożyć usługę żeby była funkcjonalna, bezpieczna i żeby na ty jednak zarobić a żeby stać na to było klienta :D W kwoty rzędu 30-60k za podstawowe sprawy w firmach kilkuosobowych wchodzi się pstryknięciem palców a dla wielu firm to są kwoty zaporowe.
Wiele wdrożeń jest robionych z zamkniętymi oczami. Przychodzi dostawca robi swoje i niech się klient martwi. Nawet nieraz sprzedając rozwiązanie nie poinformuje klienta o tym że trzeba coś więcej. Oni nie zatrudnią „adminów” i innych łebskich bo by musieli doliczyć ich pensje do wdrożenia i by nie sprzedali. A klientowi nie powiedzą że trzeba bo jak by zadzwonił po wycenę tego co trzeba zrobić dodatkowo to by zrezygnował.
Dobra jeszcze jeden przykład.
Wdrożenie systemu do robienie backupu. Po taniości ktoś przyszedł dął licencje jakieś udostępnienie na serwerze zrobił dał fakturę…
Ale sieć nie działa. No ale sieć to nie ich problem…
Więc przychodzę… No trzeba wymienić switche bo zdechły :D
A i serwer był ok jako serwer plików ale jak kilkanaście komputerów na niego się kopiuje to rozłożył nogi… A i dyski… Wolne i małe… No spoko wydali 4k na start teraz muszą dołożyć kolejne 10-15k… Gość sprzedał i zarobił zawrotne ~600zł (szacuję po cenie z fvat i tym co sprzedał).
Piszę to po to żeby pokazać jak funkcjonują mikro firmy.
To są problemy mikrofirm. Chmura tego nie rozwiązuje a wprost rodzi kolejne zagrożenia. Co gorsza wiele firm sprzedających oprogramowanie systemy czy rozwiązania dla mikro i większych ma ten sam problem. Brak ludzi mogących rozpoznać wszelkie zarżenia i wdrożyć w każdym wariancie usługę. Brak wiedzy błędy druciarstwo…
No i sakramentalne słyszane od pomocy technicznej „u wszystkich tak robimy i działa” :D
Dla tego dla maluczkich często bezpieczniej jest zostać na ziemi za swoim płotem z desek niż latać w chmury na odpustowych balonikach napompowanych na odpuście gazem…
A teraz wróćmy do dużych…
Intel.
Microsoft…
Wymieniać dalej dużych z zasobami którzy łatają swoje produkty i nadal mamy od nich drogie sito zamiast taniego garnka który sam gotuje a potem się myje? A przecież to dziesiątaki ba nawet setki i tysiące jak nie setki tysięcy specjalistów :D ;)
Jaką mamy pewność że amazon nie ma dziury przez którą można kraść dane? ŻADNEJ. Szczególnie że pewnie używa jakichś procesorów ;) Które wcale nie są wadliwe :D:D:D
A mała firma nie ma narzędzi żeby zareagować jak by taka sytuacja zaszła. Ba nawet może się o tym na czas nie dowiedzieć. Jedyną obrona będzie że „bo amazon/microsoft/intel”
I jeśli ktoś im ukradnie dane to jakoś nie wierzę że wielcy posypią głowę popiołem i przyjdą malutkiej firmie z polski z pomocą mówiąc tak to nasza wina. A malutka firma z polskie tego może nawet nie umieć udowodnić że to nie oni skrewili.
Oczywiście ostatni akapit to już pewne ekstremum może nawet podchodzące pod teorie spiskowe choć taki scenariusz staje się możliwy.
Kolego powiem wprost, chcesz cięcia kosztów i wszystkich wynalazków w pakiecie? To wybierasz właśnie chmurę Amazona. To najtańsze obecnie rozwiązanie biorąc pod uwagę koszty własnej infrastruktury, licencji, pomieszczeń, mediów, amortyzacji i zarządzania. Dodatkowo masz rozwiązania z górnej półki, których sam sobie często nawet nie postawisz, bo koszty sprzętu i licencji Cię zabiją. Polecam trochę o tym poczytać i porównać. Jest naprawdę dużo taniej i tak nawet dla maluczkich. Mam firmę jednoosobową i nie wyobrażam sobie zakładania własnej serwerowni na potrzeby software developmentu… Tu płace tylko za to czego używam i kiedy tego używam a nie za sprzęt mielący powietrze… Co do supportu to jest dużo lepszy niż „łebski admin” i tak posypią głowę popiołem jeśli trzeba, bo dają gwarancję na swój produkt, tyle tylko, że jak do tej pory, w moim przypadku nigdy tego robić nie musieli.
A kto bogatemu zabroni korzystania z chmur zewnętrznych.
Widać że nie zrozumiałeś o czym piszę :D
Zakładam ze zatrudniasz co najmniej jednego informatyka od spraw bezpieczeństwa chmury? I jest to specjalista w zakresie wszystkich rozwiązań jakie stosujecie?
Problemem nie jest chmura a to że ona wcale nie jest taka tania jak by się chciało. Większość firm zakłada że dostaje gotowy produkt a dostaje platformę. Bezpieczeństwo leży po stronie użytkownika i jest to w większości umów wyraźnie napisane.
Piszesz ze jest super… A masz artykuł pokazujący że nie jest to tak prosto. Mój wpis miał na celu pokazania genezy błędu.
Po prostu wdrożenie chmury musi kosztować i często musi kosztować pracę. A często jest tak że firmy uważają że chmura eliminuje etaty na administratorów. Jak jest problem to się jakoś poustawia i będzie git.
Jakiś czas temu poproszono mnie żebym pomógł przy rodo. Poprosiłem o kilka informacji z zakresu zabezpieczeń żeby mieć ocenę sytuacji to firma zaczęła się burzyć ze po co skoro mają admina. Jak dostali w zaleceniach przeprowadzenie audytu bezpieczeństwa to się obrazili że po co skoro maja admina od tego a poza tym mają urządzenia i tu dostałem w twarz kopiuj/wklej z jednej z ulotek od producenta „czarnych skrzynek”.
I wyobraź sobie z z takim podejściem idą w chmurę. Upraszczając.
Kupują sobie serwer….
Ktoś z firmy x wdraża jakieś system…
I działają.
A kto kolokwialnie mówiąc zabezpieczy indianina?
No właśnie nikt bo oni przecież kupili serwer w bezpiecznej chmurze.
Oczywiście wyolbrzymiłem ale jednak tak to działa.
tak, już widzę jak web-firma zajmuje się powiadomieniem właściciela dowodu rejestracyjnego pocztą tradycyjną :)
eRzeczoznawcy.pl juz kieruje na aftermarket… chyba ze erzeczoznawcy.eu?
Narzekacie na adminów a nie wiecie jacy konsultanci bezpieczeństwa testują wasze sieci za grube $. Często jest podejście, nie martw się że nie znasz technologii, douczysz się na teście. Albo na jednym teście robisz robotę dla innego klienta, tak wyglądają testy bezpieczeństwa robione w dużych firmach IT security :)
Czy przekazywanie/wywożenie takich informacji poza granice kraju nie jest karalne?