Dane Polaków krążyły w sieci przez kilka dni. Gdzie były służby i dlaczego nie reagowały?
W wyniku wycieku hasła i loginy Polaków do najpopularniejszych w kraju serwisów – w tym Facebooka, banków, sklepów czy skrzynek pocztowych WP oraz Onetu – stały się dla cyberprzestępców łatwo dostępne. Czy polscy eksperci ds. cyberbezpieczeństwa mogli zareagować wcześniej? Okazuje się, że była taka możliwość.
Przypomnijmy. Bazę danych opublikowano na polskojęzycznym forum w sieci Tor. Składała się z milionów wierszy zawierających dane (w tym hasła i loginy) na temat kont polskich użytkowników sieci. Informacje pochodziły nie z zaatakowanych serwisów, bowiem wykradło je złośliwe oprogramowanie z zainfekowanych komputerów. To oznaczało, że jedna osoba mogła za jednym zamachem stracić hasła do wielu serwisów – stąd tak duża liczba rekordów.
A teraz chronologia, bo jak się okazuje, jest w tej sprawie niezwykle kluczowa. Jako pierwsza o wycieku informuje Zaufana Trzecia Strona. Artykuł na temat ukazuje się w poniedziałek 29 maja o 23:24. Jak pisał na Twitterze dwa dni później minister cyfryzacji Janusz Cieszyński, CERT Polska o wycieku również dowiaduje się w poniedziałkowy wieczór. 31 maja ministerstwo wypuszcza też stronę pozwalającą sprawdzić, czy nasze dane wyciekły.
CERT Polska wiedziało o incydencie wcześniej?
Otrzymaliśmy informację, że firma Atende wykryła wyciek w nocy w niedzielę i powiadomiła o sprawie CERT już z samego rana w poniedziałek (w mediach społecznościowych też czytamy, że ostrzegali jako pierwsi). Skontaktowaliśmy się z przedsiębiorstwem i udało nam się uzyskać potwierdzenie, że zgłoszenie do CERT zostało przekazane przez zespół ds. cyberbezpieczeństwa Atende niezwłocznie po zidentyfikowaniu podstaw do jego dokonania, w poniedziałek rano.
- Szczegółowe informacje dotyczące zgłoszenia takie jak dokładna godzina wysłania i treść zgłoszenia mają charakter poufny – informuje nas Anna Zatońska, dyrektor działu marketingu w firmie Atende.
Osoba, która poinformowała nas o działaniach firmy Atende, twierdzi, że rejestracja zgłoszenia nastąpiła po godzinie 10:00 29 maja. Konkretna godzina to już detal. Najistotniejsze jest to, że mamy rozbieżność: minister twierdzi, że CERT o incydencie dowiaduje się 29 maja wieczorem (wraz z publikacją Zaufanej Trzeciej Strony?), firma Atende przekonuje, że ich ostrzeżenie poszło 29 maja jeszcze przed południem.
Im późniejsza informacja o zagrożeniu, tym późniejsza reakcja
Tak zespół CERT Polska 31 maja podsumował swoje działania:
Oprócz analizy danych znajdujących się w wycieku, nasz zespół podjął się również działań, które miały na celu powiadomienie jak największego grona odbiorców. Udostępniliśmy informacje na temat upublicznionych kont użytkownikom systemu n6 oraz powiadomiliśmy mailowo wiele instytucji, w szczególności administratorów rozpoznawalnych skrzynek pocztowych.
Kilka godzin różnicy ma w tym przypadku na pewno spore znaczenie, bo wszystkie zainteresowane strony mogłyby szybciej podjąć stosowne działania. Przypomnijmy, że np. Allegro wiedząc, które konta mogły zostać objęte wyciekiem danych, natychmiast zablokowało profile zagrożonych osób i automatycznie zresetowało ich hasła.
Pojawia się inny problem - te kilka godzin i tak nic by nie dało, bo dane krążyły dużo wcześniej
Jak pisał Niebezpiecznik, "zbiór danych opublikowany został po raz pierwszy już 24 maja na zagranicznym forum dla cyberprzestępców przez bardzo aktywnego od lat użytkownika". Czy w takim razie takie instytucje jak CERT Polska nie śledzą takich miejsc?
