Jak informuje TVP3 Kielce, każdy z kieleckich samorządowców otrzymał specjalny tablet, który pozwala na uczestnictwo w głosowaniach i zabieranie głosu podczas pierwszych zdalnych obrad. Radni mieli zostać przeszkoleni, ale zanim doszło do szkolenia, doszło do incydentów związanych z przekazanymi im tabletami…

Widzieli nawzajem swoje hasła

Podczas próbnego głosowania każdy z radnych mógł zapoznać się z hasłem i loginem innych uprawnionych do głosowania. Radny Marcin Stępniewski zauważył, że problem ujawnienia danych dotyczy też “e-maili urzędowych, na które mają logować się samorządowcy“.

Pomyślicie pewnie — ale jak to możliwe? Platforma do głosowania miała błąd w formularzu logowania? To możliwe… Ale nie wyjaśnia “widoczności” haseł do innych kont, np. do e-maili. Materiał TVP3 Kielce tego nie precyzuje, ale nasz informator rzuca więcej światła na “tło” incydentu:

[Oni] uruchomili wszystkie tablety na 1 koncie Google (z resztą niezgodnie z regulaminem Google). Google zapamiętało hasła i wyświetliło (podpowiadało — dop. red.) wszystkim hasła wszystkich radnych. Czy były również hasła do innych kont niezwiązanych z esesją (!!!)? np. do kont email, bankowych, portali aukcyjnych itp. itd.? Co jeśli radni pozmieniali sobie standardowe hasło na swoje a inni to zobaczyli? Ewidentnie brak procedur / nadzoru nad wdrożeniem. Dalej: CO Z INNYMI SAMORZĄDAMI używającymi “esesja.pl”?

A więc radni, niczym setki biednych studentów, którzy co roku są hackowani, skorzystali z …grupowego maila. A raczej nie radni, a firma Infover, która dostarczyła im tablety do głosowania skonfigurowane do pracy oprogramowaniem esesja.pl, autorstwa innej firmy MWC Sp. z o.o. Ze względu na konfigurację w oparciu o jedno i to samo konto Google, wszystkie tablety zapamiętywały wszystkie wprowadzane na nich hasła (także te do innych kont niż system do głosowania), w googlowym, chmurowym managerze haseł. A potem te hasła podpowiadały na każdym urządzeniu. Podstawowy błąd…

Co gorsza — o czym pewnie wciąż część radnych nie wie — każdy z nich mógł wyeksportować hasła wszystkich pozostałych — nawet te prywatne (!!!) — o ile jakiś z samorządowców skorzystał z “służbowego” tabletu do prywatnych celów.

Praca zdalna to nie jest prosta sprawa. Można popełnić wiele błędów i spowodować wyciek danych straszniejszy od tego, który przytrafił się radnym w Kielcach. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura, na prywatnym lub służbowym sprzęcie. Porady i przydatne narzędzia poznasz podczas naszego 2 godzinnego webinaru poświęconemu bezpieczeństwu pracy zdalnej. Kliknij tu aby zobaczyć nagranie! Praca zdalna to nie jest prosta sprawa. Można popełnić wiele błędów i spowodować wyciek danych straszniejszy od tego, który przytrafił się radnym w Kielcach. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura, na prywatnym lub służbowym sprzęcie. Porady i przydatne narzędzia poznasz podczas naszego 2 godzinnego webinaru poświęconemu bezpieczeństwu pracy zdalnej. Kliknij tu aby zobaczyć nagranie!

W kontekście powyższego, trochę kuriozalnie brzmi wypowiedź rzecznika prezydenta Kielc, Tomasza Porębskiego, który całą sprawę dla TVP3 Kielce skomentował tak:

To konto testowe jest założone na sam początek. Natomiast wszystkie kolejne ruchy będą wykonywane po zakończeniu dzisiejszego szkolenia tak, żeby wszelkie dane, wszelkie hasła były tylko i wyłącznie indywidualne.

Za późno! Takie tłumaczenie miałoby sens, gdyby każdy z radnych został ostrzeżony, że jego hasła będą mogli poznać pozostali radni.

To może być zdecydowanie poważniejszy problem…

Stawiamy scyzoryki przeciw siekierom, że część z radnych wprowadziła na tabletach hasła, których używają w innych miejscach. Gdyby któryś z radnych miał eksport tego zbioru (można go zrobić klikając tutaj), to z chęcią tę naszą hipotezę zweryfikujemy :) Adres formularza do kontaktu jest tutaj, a my gwarantujemy anonimowość.

Wiedza o tym, jakie hasło ma przeciwnik polityczny, może być niesamowicie cenna. I nie chodzi tylko o oddanie głosu za kogoś z jego konta. Jeśli radny używał tego samego hasła w innym miejscu, możliwe staje się wejście na jego skrzynkę e-mailową i szantażyk…

Warto też zwrócić uwagę, że jeśli to nie samorządowcy konfigurują sobie tablety, to firma, która im je przygotowuje (jej pracownicy) znają hasła i mogą “podglądać” cyfrowy ślad radnych. Warto uwzględnić to w swoim modelu ryzyka…

W modelu ryzyka warto też uwzględnić wiele innych kwestii. Wszystkie z nich omawiamy w naszym 3h internetowym kursie “Cyberbezpieczeństwo w Firmie“. Kurs edukuje pracowników, ale zawiera także porady dla działów IT. Bo wielu pomyłkom pracowników i wygenerowanym przez nich incydentom można zapobiec, o ile wdroży się odpowiednie procedury i narzędzia… Materiał kursu dostosowaliśmy do najczęściej występujących w Polsce ataków na firmy i incydentów, które obserwujemy u naszych klientów od ponad 10 lat. To wiedza, którą powinien mieć każdy pracownik i jedyny tak przekrojowy i poparty prawdziwymi przykładami kurs z cyberbezpieczeństwa w Polsce. Zobacz za darmo jedną z lekcji, a potem zapoznaj się z pełną agendą naszego kursu “Cyberbezpieczeństwo w Firmie” i przeszkol wszystkich pracowników z bezpiecznej pracy na komputerze podłączonym do internetu.

PS. Brawa należą się przewodniczącemu Rady Miasta, Kamilowi Suchańskiemu, który w związku z wdrożeniem tabletów, asekuracyjnie przełożył obrady o tydzień, z 16 na na 23 kwietnia — tu cytat — “wziąłem pod uwagę to, że mogą zaistnieć pewne rzeczy, których nie przewidzimy, które będą wynikać z jakichś zaniedbań”.

PS2. Oczywiście, tego posta nie mogliśmy zakończyć inaczej niż tak:





Otrzymaliśmy dodatkowe wyjaśnienia od Tomasza Porębskiego, rzecznika prezydenta Kielc:

Niestety, zacytowana moja wypowiedź została wyrwana z szerszego kontekstu – jak to często bywa w telewizyjnych materiałach (oczywiście niekiedy z uwagi na ich specyfikę i ograniczony czas antenowy) – dlatego nie oddaje pełnego przekazu. Pamiętajmy również, że wypowiedź była nagrywana przed rozpoczęciem szkolenia w dniu wczorajszym oraz odpowiedzią dostawcy sprzętu i oprogramowania na pismo UM Kielce z prośbą o wyjaśnienie zaistniałej sytuacji.

Pan Tomasz podzielił się także z nami pismem od firmy Infover, która dostarczyła radnym “testowo skonfigurowane” tablety

W związku z tym pismem, doprecyzowaliśmy w artykule, że za konfiguracje sprzętu przekazanego radnym odpowiadała firma Infover.

Przeczytaj także: