Historia wypożyczeń, adresy, PESEL-e, numery telefonów, hasze haseł – to dane, których klienci nie chcą znaleźć w publicznie dostępnych plikach na serwerze wypożyczalni samochodów. Niestety ich chęci mogą się rozminąć z rzeczywistością.
Historie lubią się powtarzać. W KSSIP baza wypłynęła w trakcie migracji do nowego systemu, a w firmie Panek okoliczności wskazują na podobny scenariusz wydarzeń. W sieci, na w żaden sposób nie zabezpieczonym serwerze, znalazły się publicznie dostępne kopie bezpieczeństwa plików i baz danych. To jednak nie koniec historii – bo pierwsza reakcja firmy na zgłoszenie też była ciekawa.
Przypadkowe znalezisko w Google
Od naszego czytelnika Marcina otrzymaliśmy w nocy informację o tym, że grzebiąc w Google, natrafił na niepokojące dane. Wyglądało to tak:
Proste zapytanie, pierwsza strona wyników i od razu backupy dużej wypożyczalni samochodów? Wierzyć się nie chce – ale to jednak prawda. Krótko po Marcinie kolejny czytelnik, chcący zachować anonimowość, podesłał analogiczną informację. Najwyraźniej zindeksowanie baz przez Google musiało nastąpić niedawno. Co zatem znajdowało się na serwerze ipanek.pl?
Najwyraźniej ktoś przez pomyłkę udostępnił spory zakres kopii bezpieczeństwa z różnych okresów działania firmy. Oto przykładowe zrzuty ekranów udostępnionych katalogów:
W katalogu widzimy pliki z kopiami baz danych o znacznym rozmiarze.
Tu kolejny folder, tym razem nie tylko z bazami danych, ale także z archiwum całego serwera WWW.
Data 17 kwietnia 2020 znajdująca się w nazwie jednego z folderów sugeruje, że do zmian w konfiguracji mogło dojść niedawno, co tłumaczy brak wcześniejszego odkrycia tej wpadki. Same pliki utworzone zostały w latach 2018 lub 2019. Co zawierają?
Co wyciekło z serwera
Według otrzymanych przez nas informacji udostępnione bazy danych i pliki serwera zawierały mnóstwo informacji, w tym tak istotne dane jak:
- Dane kont ok. 20 tysięcy klientów PANEK rent a car, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, numer PESEL, adres e-mail, hasz hasła (hasła przechowywane w MD5, ale z pieprzem znajdującym się w kodzie strony, który też wyciekł). Ostatnie konto założone zostało w grudniu 2019.
- Dane tysięcy wypożyczeń pojazdów PANEK rent a car z okresu 2010 – 2014, zawierające takie pola jak imię, nazwisko, adres, numer telefonu, PESEL, adres e-mail klienta oraz miejsce i datę wypożyczenia oraz zwrócenia pojazdu, cenę, opis pojazdu, a także adres IP klienta.
- Dane ponad miliona wypożyczeń PANEK rent a car z lat 2014 – 2019, ale w ograniczonym zakresie (daty, miasta).
- Dane firmowe takie jak konta pracowników, punkty obsługi, pojazdy, treść stron itp.
- Pliki serwera WWW, zawierające kod strony i dane konfiguracyjne (w tym hasła do baz danych, klucze certyfikatów, hasła do zewnętrznych systemów).
Brzmi poważnie, prawda? Czas zatem zgłosić incydent.
Nietypowa reakcja firmy
Szybko zlokalizowaliśmy rzecznika prasowego firmy, panią Katarzynę Panek, która pełni także funkcję Inspektora Ochrony Danych – zatem idealna osoba do otrzymania informacji o incydencie. Wysłaliśmy zatem taką wiadomość:
Od jednego z czytelników otrzymałem informację, że udostępniacie Państwo w sieci kopie bezpieczeństwa swoich baz danych, zawierających dane klientów firmy. Są to co najmniej dwie lokalizacje:
https://w-ww.ipanek.pl/backup17-04-2020/
https://ww.ipanek.pl/paneksa/backup/Informuję, by mogli Państwo jak najszybciej zabezpieczyć pliki, ale poproszę też o komentarz, ponieważ planuję dzisiaj na ten temat publikację. Poniżej pytania:
1. Jak doszło do ujawnienia danych2. Jakie dane i ilu klientów dotyczące zostały ujawnione
3. Od jak dawna pliki były dostępne i czy były pobierane
4. Jakie działania planują Państwo w związku z incydentem
Odpowiedź otrzymaliśmy w piorunujący tempie, bo już po 7 minutach – to chyba dotychczasowy rekord w naszej historii zgłoszeń incydentów. Treść była mniej godna pochwały. Usiądźcie, jeśli czytacie na stojąco.
Panie Adamie nie ma takiej mozliwosci, zeby dane wyciekly, zwlaszcza, ze zmienilismy serwis www i ma on zupelnie inne algorytmy dzialania.
Gdy już się trochę otrząsnęliśmy z szoku, napisaliśmy ponownie, prosząc jednak o weryfikację naszego znaleziska. Na szczęście firma stanęła na wysokości zadania i już po paru godzinach w obszernej wiadomości potwierdziła, że faktycznie doszło do incydentu dotyczącego poprzedniego serwera WWW (kilka dni wcześniej miała miejsce migracja na nową platformę, co zapewne mogło przyczynić się do powstania incydentu). Dalsze działania przebiegają już wręcz wzorcowo. Firma:
- natychmiast zablokowała dostęp do folderów i plików,
- złożyła wstępne zawiadomienie do UODO,
- wynajęła specjalistyczny podmiot, który zweryfikuje przebieg incydentu i bezpieczeństwo tego i pozostałych serwisów firmy,
- czeka obecnie na wyniki audytu, by na ich podstawie zaktualizować zgłoszenie do UODO i w razie takiej potrzeby poinformować o wycieku klientów,
- planuje wdrożyć wszystkie rekomendacje wynikające z audytu.
Jak tylko audytorzy zakończą prace, otrzymamy informacje na temat ich wyników i będziemy mogli zaktualizować artykuł.
Podsumowanie
Powyższy incydent niesie ze sobą kilka lekcji. Oto one:
- Lekcja dla odbierających zgłoszenia: W przypadku otrzymania zgłoszenia incydentu nie reaguj impulsywnie. Lepiej poświęcić pół godziny na zbadanie problemu, nawet jeśli wydaje się on na pierwszy rzut oka niemożliwy.
- Lekcja dla administratorów: Nie zostawiaj kopii bezpieczeństwa na serwerze WWW w katalogu dostępnym dla serwera. Po prostu nie. To kiedyś się źle skończy.
- Lekcja dla zarządzających IT: Do migracji zamów od razu audyt bezpieczeństwa, najlepiej trwający w czasie migracji. Przykłady KSSIP i PANEK rent a car pokazują, że to faktycznie krytyczny moment w działaniu systemów.
- Lekcja dla raportujących incydenty: Jeśli trzeba, daj odbiorcy drugą szansę, to przyniesie wszystkim korzyści.
Chcemy przy okazji podkreślić, że jeśli pominiemy pierwszą szybką reakcję firmy, to potem przebieg komunikacji i procesów reagowania na incydent był wręcz modelowy. Bardzo rzadko zdarza się, by ktoś tak wprost i otwarcie informował nas jako dziennikarzy o incydencie i odpowiadał na wszystkie nasze pytania. Niech to będzie przykładem dla innych firm, że można.
O bezpieczeństwie kont internetowych i hasłach
Kontom i hasłom poświęcone są dwa odcinki naszego unikatowego kursu wideo Bezpieczeństwo Dla Każdego. W prostych słowach tłumaczymy, jak podnieść bezpieczeństwo swoich kont i unikać problemów opisanych w artykule powyżej. Do tego 23 inne tematy ważne dla każdego użytkownika sieci – każdy znajdzie tam coś ciekawego.
A jeśli sądzicie, że wiecie już o bezpieczeństwie wszystko, to zapewniamy, że warto zapoznać się z naszym kursem chociażby dla historii z życia wziętych, ilustrujących każdy odcinek.
Komentarze
wynajęła specjalistyczny podmiot, który zweryfikuje przebieg incydentu i bezpieczeństwo tego i pozostałych serwisów firmy,
Nie jest to firma powiazana z zaufanatrzeciastrona.pl ?
czeka obecnie na wyniki audytu, by na ich podstawie zaktualizować zgłoszenie do UODO i w razie takiej potrzeby poinformować o wycieku klientów,
Czekanie na wyniki audytu… no grubo… poczekajmy z 2 tygodnie jak juz ktos bedzie mial scam na karcie….
planuje wdrożyć wszystkie rekomendacje wynikające z audytu.
Nie, nie świadczymy takich usług.
Nic nie jest dziełem przypadku
https://rejestr.io/krs/434327/stowarzyszenie-cloud-security-alliance-polska
Zapomniałeś jeszcze, że byłem członkiem zarządu stowarzyszenia ISACA.
Z własnego doświadczenia…
email od Panka z informacją dopiero w odpowiedzi na moje zapytanie z 30 kwietnia czy był wyciek danych osobowych i czy dotyczył on mojej osoby … 5 maja potwierdzono, iż i owszem dotyczył ale informacji o wycieku danych z kart kredytowych ani słowa .. tymczasem, w międzyczasie od 22 kwietnia ktoś już wykorzystał sobie moją kartę do opłacenia abonamentu w Netfix oraz do zakupu biletów kolejowych w Berlinie … Odpowiedzialność wobec klienta „godna pochwały” :( … tempo informowania – oszałamiające, pomijanie faktu, iż wyciekły również dane kart kredytowych – pozostawiam bez komentarza
Nie podaje się nigdy danych karty na której są stale środki pieniężne.
Wygodne, ale jak widać zawodne w wielu sytuacjach.
Czasami lepiej poświęcić trochę czasu i płacić przelewem/BLIKiem.
Karta kredytowa to wbrew pozorom jedna z najbezpieczniejszych metod. Chargeback zrobi zwrot. Tylko trzeba złożyć wniosek.
Smiech na sali ! :D takie rzeczy z indexami googla robilo sie w 2000 r :D
To mi się pofarciło. Niedawno zrezygnowałem z rejestracji w Panek CS [1]. Jak zobaczyłem formularz założenia konta [2], to napisałem zgłoszenie. Odpowiedziano mi od razu, że co z tego, jak mogę się zarejestrować przez aplikację.
Nie po to doklejam znaki wodne do dokumentów, żeby być zmuszonym do rejestracji w aplikacji, która i tak wymusza zrobienie zdjęcia dokumentu.
Odpowiedziałem grzecznie, że dziękuję za ujawnienie swojego stosunku do klienta i że konkurencji webowy formularz rejestracji działa.
Tutaj chciałbym zachęcić do przetestowania na podobne wycieki konkurencji Panka. Chciałbym zawczasu wiedzieć, że mam znowu PESEL zmieniać ^_^’
[1] W tym momencie średnio mnie interesuje czy to CS czy RaC, jak zaplecze IT może być to samo.
[2] https://panel.panekcs.pl/usermanagement/create Co ciekawe nie wygląda na to, żeby był już linkowany z głównej, a i tak droga do niego była dość kręta ZTCP.
W jaki sposób zmieniłes PESEL?
-jeśli zmieniasz datę urodzenia,
– w przypadku podania błędnych informacji przy nadaniu numeru PESEL (jeśli urzędnik mógł zostać wprowadzony w błąd, co do twojej tożsamości),
– jeśli urzędnik pomylił się podczas wprowadzania danych do systemu (podał błędną datę urodzenia lub płeć),
– jeśli doszło do zmiany płci.
@el_dorado
Nie wiesz? Dźwiedziu kupił nowy dowód kolekcjonerski :)
A aplikacji możesz użyć zdjęcia z galerii – co za problem wrzucić z galerii zdjęcie ze znakiem wodnym?
Miałem nieprzyjemność korzystać z ich starego systemu jako klient – dramat. Próba dostania linka z płatnością do wygenerowanego rentalu po randomowym błędzie strony graniczyła z cudem a eskalowałem poprzez managera regionu aż do członków zarządu i ostatecznie płaciłem przy odbiorze bo inaczej sie „nie dało”. Dodatkowo pracownik umyślnie kliknął przeliczanie na płatność w walucie karty, a nie w pln i jeszcze był niezadowolony, że raczyłem się upomnieć. (te kursy w terminalach to oddzielny dramat)
To był pierwszy i ostatni raz gdy korzystałem z usług tej firmy. A teraz jeszcze bonus w postaci moich danych w plaintext w necie..
„Nie polecam” ta mało powiedziane.
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Sanktuarium Miedzna wrzucałem już kiedyś na cebulkę. Jak zerkniesz do bazy to zobaczysz ilu ponadprogramowych administratorów
gości na serwerze :D W większości rosyjskojęzycznych.
—–BEGIN PGP SIGNATURE—–
iQETBAEBCgB9FiEEdkePr+T8OnYM3UyACVTIwtMKCJYFAl6mpmJfFIAAAAAALgAo
aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldDc2
NDc4RkFGRTRGQzNBNzYwQ0RENEM4MDA5NTRDOEMyRDMwQTA4OTYACgkQCVTIwtMK
CJb00wP/aKhbMUyRxj3GHb2v5zSC7cQ7kopvvNOheqV3wWprZz/LUNjWhzPjmV1m
8r5UUZ21Ng4nzrRxQ/jMDUz7aUXOagKv/z1bP1nmNANWRRhcEC3gKhwEMJVCXs6C
ghm3i0Q6pqp27V6CdtOBpPnPnFNIDzzTeSeBTKNsx+ec2YeC+GU=
=dNkg
—–END PGP SIGNATURE—–
a podobno polaków nie atakujesz…
czy od pewnego poziomu punktów na cebulkę możecie wrzucać, bo tam już sami swoi?
W końcu się doczekali, ponad rok temu korespondowałem z Panią IOD na temat PanekCar Shearing i ich serwisu. Z kobietą nie dało się dojść do porozumienia i ochronę danych mają w głębokim poważaniu… Na życzenie redakcji mogę udostępnić korespondencję.
A możesz – jeżeli to legalne – opublikować kluczowe fragmenty tej korespondencji?
czy zatem można uzyskać od panka informację jakie dane wyciekły i czy znajduję się na tej liście ? Czy można uzyskać jakąś formę rekompensaty ?
Jak ustalą to poinformują. A odszkodowanie przyznaje się za poniesione straty – jeśli jakieś poniosłeś, to możesz pozwać.
Miałem kiedyś „przyjemność” pracować dla tej firmy. Opisany tu incydent to tylko wierzchołek góry lodowej. IMHO, nikt z czytających nawet nie spodziewa się monstrualnych rozmiarów tej góry. PANEK to taki Januszex, z pracowników chce wycisnąć jak najwięcej, a później oszukać na pieniądze. Nie polecam jakiejkolwiek współpracy.
Nic się nie zmieniło, a rzec można, ze jest jeszcze gorzej. Dobrych pracownikow wyciska się jak cytrynę, a nieudaczników i zwykłych przygłupów, którzy maja w miarę gadane ostro przepłaca. Panek ogarnij
I bardzo dobrze. nienawidzę łysego i tej pseudo firmy. życzę bankructwa
O wiele mniejszy proble byłby gdyby firma NIE GROMADZIŁA danych klientów poza numerem dowodu osobistego lub paszportu. Na podstawie tego numeru można potem ustalić tożsamość i adres posiadacza – a w razie wycieku łatwo ten numer zmienić.
No ale jak się niczym komunistyczny urzędnik spisuje PESEL-e i adresy, to potem jest płacz, że wyciekło…
A mnie laikowi wytłumaczcie proszę dlaczego podczas migracji z jednej bazy na drugą nie było ustawione hasło dostępu do zasobów źródłowych? Co stało na przeszkodzie dać nawet admin:admin?
być może admin zrobił dumpa bazy i chciał go pobrać lokalnie jako backup, a więc wystawił sobie w łatwy sposób plik do pobrania (publiczny katalog na serwerze) i po pobraniu zapomniał o tym, no i zostało.
No proszę, pewnie sprzedali dane. Bardzo złe doświadczenie z usług tej firmy. Oszukuja klientów, a na reklamacje odpowiadaja po miesiacu z seri jak chcesz to się sądz, więc juz nic mnie nie zdziwi.
a te durne ijbiemy orakiele czy sapy umożliwiają szyfrowanie zawartości baz danych oraz ich backupów jako standard, co powinno być obowiązkowe jeśli bazy zawierają zawierają dane wrażliwe. No ale trzeba by zapłacić za licencję a po co …
A gdzie porady w stylu: co zrobić, jak żyć? Ja do robienia backupów polecam karty pamięci microsd. Niektórzy producenci nawet dają na nie wieczystą gwarancję. Ewentualnie szyfrowanie backupów.
A mnie interesuje dlaczego majac RODO wciaz trzymaja moje dane pomimo ze:
1. Nie zglosili sie do mnie z informacja ze maja moje dane (wynajem gdzies w 2014)
2. Nie potwierdzili czy chce zeby ciagle posiadali moje dane
3. Nie majac mojej zgodny na przechowywanie danych, nie usuneli moich danych w momencie wejscia w zycie RODO?
Ktos zna odpowiedz?
A skąd wiesz, że wciąż trzymają?
Mnie najbardziej zastanawia fakt czemu te dane są przetwarzane w takiej ilości i czemu dane osobowe nie zostały zaszyfrowane lub zabezpieczone w inny sposób. Czy ta firma zrobiła cokolwiek żeby się przystosować do RODO ? W mojej opinii brak zabezpieczenia tych danych jest ogromnym zaniedbaniem i za ten wyciek, umyślny, należy się wysoka kara.
Do autora: niezabezpieczone dane wyciekły, Pani IOD Ciebie olała. Dopiero po drugim mailu zareagowali, a Ty chwalisz firmę.. Nie rozumiem.
No tak, a kto jest inspektorem danych? Kasia. Kasia fajna jutuberka, fajna influencerka ale nie bardzo kuma co to security, ani nawet co to IT. Ta firma, kochana tak mocno, ma bardzo swoiste podejście do digitalu.
Teraz sobie wyobrażcie, że prezes Hertza robi swoją młodszą o 20 lat żonę inspektorem danych, która umie w email i post na FB. Z całym szacunkiem, ale jak zawsze wszystko najtaniej, byle było. No to jest jak jest. Amen.
i co jestes z siebie zadowolony, ze teraz firma bedzie placila kare? bo chciales sie pochwalic na swoim gownoserwisie jaki to ty chakier jestes? nie mogles im tego po cichu napisac? sasiada tez bys zglosil, ze na kwarantannie nie siedzi? nie mam do ciebie szacunku, tym bardziej, ze uzywasz windowsa
???
Akurat sąsiada należało by zgłosić żeby nie łaził i nie rozsiewał wirusów.
Haha, co za idiota.Bardzo dobrze ze zgloszone, patologie sie uwidacznia. A propo kwarantanny, zglosilem sasiada i ma policje na glowie, a wiesz czemu? Bo mial siedziec to niech siedzi, sa jakies zasady to sie do nich stosuje, maluczki PRL’owski czlowieku ;-)
Z wczorajszego maila od Panka:
„24 kwietnia 2020 r. odkryliśmy, że dane części naszych Klientów, w tym Państwa dane, były dostępne publicznie.”
W artykule stoi, że informację otrzymaliście w nocy – czy to była noc 27 kwietnia, jak data publikacji sugeruje?
Pomijam, że niby sami odkryli, ale ciekawi mnie kiedy to się stało.
Ja to uwielbiam! Zgłasza się błąd na stronie, z precyzyjnym opisem, zrzutem ekranu i odnośnikiem, a ktoś po drugiej stronie nawet nie kliknie żeby zweryfikować. Analfabetyzm i debilizm.
PS Ile taka firma MUSI trzymać takie dane? Nie wystarczy do upływu gwarancji/reklamacji/rękojmi itp.?
Dzisiaj widzę, że strona ipanek.pl już działa. To próbuję się zalogować, żeby zmienić hasło chociaż i zobaczyć czy jest możliwość wymiksowania się z tego interesu.
I tak, najpierw formularz logowania nie uznaje pól za wypełnione, kiedy automagicznie je uzupełniam z managera haseł. Jak już to udało mi się przejść, to dostaję taki wesoły błąd przy polu „Hasło”: „Pole może mieć od 6 do 16 znaków”. Mam hasło dłuższe niż górny limit pola…
Czy to jakiś opóźniony prima aprilis, czy co?
Historia w KSSIP byłaby pouczająca dla innych, gdyby nie powtórka firmie PANEK. Administratorzy i zarządzający IT powinni wiedzieć, że pewnych rzeczy się nie robi a wiedza o tym musi być nabywana już na samym początku kariery zawodowej w IT: na kursach i na studiach. Niestety nadal trafiają się przypadki, że administrowaniem systemów zajmują się osoby mało do tego przygotowane, bo tak jest taniej dla zarządzających firmą. Złudne jest przekonanie, że złe przygody trafiają się innym, nie nam a chodzenie na skróty zawsze się mści w sposób nieoczekiwany. Znam to z własnego doświadczenia, przez wiele lat byłem administratorem sieci.