Dane ponad 50 tysięcy polskich prokuratorów, sędziów i asesorów krążą po sieci

Wiele komunikatów o „wycieku danych” mówi o sytuacjach, gdy dane trafiły w ręce jednej niepowołanej osoby lub w takie ręce mogły trafić, a nie trafiły. Tym razem jest jednak inaczej – baza Krajowej Szkoły Sądownictwa i Prokuratury leży w internecie.

O incydencie można dowiedzieć się na wiele sposobów. Można go np. zidentyfikować samodzielnie, ale można też o nim usłyszeć od osób z zewnątrz organizacji. Pół biedy, gdy osoby te wykryły podatność i ją zgłosiły. Gorzej, gdy odkryły bazę użytkowników udostępnioną na forum przestępców…

Chronologia wydarzeń

Dzisiaj polski internet dość intensywnie zaczęła obiegać informacja o wycieku danych z bazy Krajowej Szkoły Sądownictwa i Prokuratury. Nie jest ona szczególnie świeża – ślady publicznie dostępnych informacji o tym wycieku pojawiły się już 4 dni temu, a od dwóch dni w sieci udostępniane są skany komunikatu, który rozesłały władze szkoły do osób, których dane mogły wyciec.

Kradzież danych osobowych z Krajowej Szkoły Sądownictwa i Prokuratury.

No, fajnie. Niezły tam macie …. w tym Archeo, siostry ? pic.twitter.com/IdYWsjgk3O — Ryszardinho ??⚖️?? (@ryszardinho34) April 11, 2020

Dzięki wskazówce jednego z czytelników (dzięki!) natrafiliśmy na samą bazę, a data jej publikacji sugeruje pewien scenariusz wydarzeń. Ale po kolei.

Baza udostępniona została na pewnym internetowym forum już 2 kwietnia 2020.

Publikacja bazy na forum

Najstarsze wpisy w bazie pochodzą z ok. godziny 14 dnia 21 lutego 2020. Patrząc zatem na chronologię wydarzeń, można zaryzykować hipotezę o takim ich przebiegu:

21 lutego 2020 – ktoś uzyskuje nieuprawniony dostęp do bazy danych,

2 kwietnia 2020 – publikacja bazy,

kilka dni przed 7 kwietnia 2020 – KSSIP dowiaduje się o bazie dostępnej na forum,

7 kwietnia 2020 – KSSIP informuje o wycieku.

Co zawiera baza

Ujawniona na forum baza ma 50 283 rekordy o częściowo zróżnicowanej zawartości. Znakomita większość zawiera:

imię i nazwisko,

nazwę użytkownika (nie zawsze zgodną z imieniem i nazwiskiem),

hasz hasła (najwyraźniej solony, soli nie znaleźliśmy),

adres e-mail (wiele prywatnych, o tym poniżej),

numer telefonu (obecny w ok. 20% przypadków),

nazwę instytucji, miasto (mniej niż 10%),

daty utworzenia konta czy ostatniego logowania.

Struktura bazy wskazuje dość jednoznacznie na jej pochodzenie z popularnej platformy szkoleniowej Moodle.

Ujawniona w sieci baza nie zawiera numerów PESEL czy danych o komunikatorach, choć wspomina o nich komunikat KSSIP rozesłany do poszkodowanych. Istnieje oczywiście możliwość, że przestępcy dostali się także do innych baz instytucji – to powinien określić audyt po incydencie.

Ciekawym wątkiem są adresy e-mail. Jak wspomnieliśmy, wiele z nich to adresy prywatne. Oto lista najpopularniejszych domen:

6277 wp.pl

5668 gmail.com

1869 interia.pl

1862 o2.pl

1768 op.pl

1146 poczta.onet.pl

621 onet.pl

575 vp.pl

565 tlen.pl

461 onet.eu

459 warszawa.so.gov.pl

415 poczta.fm

279 lodz.sr.gov.pl

264 krakow.so.gov.pl

252 gazeta.pl

252 bialystok.sr.gov.pl

207 szczecin.so.gov.pl

Podsumowanie

Trzeba przyznać, że mamy do czynienia z ciekawym incydentem – wycieki danych pracowników wymiaru sprawiedliwości o takiej skali zdarzają się dość rzadko. Interesujące jest także to, że autor włamania tak szybko opublikował wykradzione informacje, zamiast je np. zaoferować na sprzedaż. Być może nie był świadom potencjalnej wartości bazy, która w rękach przestępców może okazać się dość niebezpieczna dla prokuratorów, którzy tych przestępców ścigają.

A skoro już tu jesteście

O tym, jak zabezpieczać swoje konta w serwisach internetowych opowiadamy w jednym z 25 wykładów online (łącznie 7h materiału i kolejne w produkcji). Wykłady dostępne są już dla dużych firm (korzysta z nich już ponad 5000 pracowników), a lada dzień rozpoczynamy sprzedaż dla osób prywatnych i małych firm. Chcesz dostać kod promocyjny i informacje, gdy ruszy sprzedaż? Zapisz się na listę oczekujących :)