Cyberbezpieczeństwo
Atak na Eurocert. Rozbieżne stanowiska KAS i jej pracowników
Autor. Pixabay.com
Atak na Eurocert był jednym z najpoważniejszych incydentów ostatnich miesięcy. Pomimo upływu trzech tygodni nadal nie wiemy, ilu osób dotyczy naruszenie ochrony danych osobowych. Pracownicy KAS martwią się o swoje bezpieczeństwo.
Informacja o ataku pojawiła się 12 stycznia br. na blogu grupy RansomHub. Wśród dowodów kradzieży danych znajdowały się m.in. serie i numery dowodów osobistych, adresy e-mail, numery telefonów czy numery PESEL. Zrzuty ekranu na blogu cyberprzestępców wskazują na to, że uzyskali nieuprawniony dostęp do dwóch baz danych, zawierających po ok. 100 tys. rekordów. Niektóre z maili pochodziły z domeny mf.gov.pl.
23 i 24 stycznia Agata Jagodzińska, przewodnicząca Związkowej Alternatywy w Krajowej Administracji Skarbowej informowała o masowym wycieku danych pracowników KAS, skutkującym m.in. próbami wyłudzenia pożyczek czy żądaniami okupu za niepublikowanie danych. Skierowaliśmy pytania do KAS w tej sprawie.
‼️‼️Masowy wyciek danych pracowników KAS!
— Agata Jagodzińska (@AgataJagodzisk1) January 23, 2025
Pracownicy Krajowej Administracji Skarbowej informują o problemie dotyczącym ujawniania numeru PESEL przy podpisie elektronicznym. Ponadto w ostatnim czasie nastąpił cyberatak na dostawcę usług Eurocert, co wzmożyło ich niepokój. UODO… pic.twitter.com/gWzdKyCekC
Pracownicy KAS i ich podpisy
Kontrowersje dotyczą m.in. udostępniania danych pracowników Krajowej Administracji Skarbowej podczas elektronicznego podpisywania dokumentów. Jedna z pracowniczek przekazała nam, że dostęp do jej numeru PESEL i numeru dowodu osobistego ma „każdy, do kogo wysyła wezwanie, zawiadomienie , decyzję czy postanowienie.”
Inna osoba dodała, że dostęp do jej danych osobowych mają praktycznie wszyscy adresaci pism – są nimi „inne osoby pracujące w urzędach, podatnik czy też jego pełnomocnik. Grono osób jest bardzo szerokie, gdyż jest nim każdy adresat pisma”.
Zapytaliśmy Ministerstwo Finansów o wspomnianą kwestię. Przekazano nam, że zgodnie z obowiązującymi przepisami Ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2022 r. poz. 1303 z późn. zm.), numer PESEL jest zawarty w podpisie, aby spełnić wymóg eIDAS i przepisów krajowych o „niebudzącym wątpliwości stwierdzeniu tożsamości”.
Resort dodaje, że „praktyka rynkowa i zalecenia Ministra Cyfryzacji również preferują PESEL”, a kwalifikowany dostawca usług zaufania jest zobowiązany do zweryfikowania tożsamości przyszłego posiadacza certyfikatu :w sposób pewny i jednoznaczny”.
Żądania okupu i phishing
Przewodnicząca Związkowej Alternatywy opublikowała na portalu X wpis dotyczący otrzymywania żądań okupu przez pracowników KAS. W wiadomości e-mail stwierdzono, że prowadzona jest kampania socjotechniczna w związku z atakiem na dostawcę podpisów elektronicznych EuroCert.
‼️ Dalsze konsekwencje wycieku danych pracowników KAS.
— Agata Jagodzińska (@AgataJagodzisk1) January 23, 2025
W związku z cyberatakiem na dostawcę podpisu elektronicznego dla Krajowej Administracji Skarbowej nasi pracownicy otrzymują na resortowe skrzynki żądania okupu ❗️ za nieujawnianie danych pracowników.
Ponownie apeluję do… pic.twitter.com/uxFMM619uM
Ministerstwo Finansów potwierdziło nam, że na skrzynkach mailowych pracowników resortu finansów znajdują się żądania okupu. Zaznaczono jednak, że ich treść nie odnosi się do wycieku danych z EuroCertu.
Wydział Prasowy podkreślił, że ataki phishingowe na pracowników resortu są codziennością, a atak na EuroCert może wpłynąć na potencjalną aktywność przestępców. Dotychczas Ministerstwo Finansów nie odnotowało zwiększonej liczby ataków, a miało przeprowadzić kampanię informacyjną oraz „zwiększyło monitoring wiadomości przychodzących pod kątem potencjalnie szkodliwych treści”.
Pracownicy KAS opisali nam swoje doświadczenia dotyczące prób wyłudzeń. Jedna z osób przekazała nam, że trzy dni po ataku dostała telefon z „kancelarii finansowej”, która pytała o nieistniejące polisy ubezpieczeniowe. Inny pracownik wspomniał, że otrzymuje fałszywe telefony z banku czy sanatorium.
Wyciek był, tylko czyich danych?
Dotychczas EuroCert nie opublikował informacji dotyczącej liczby osób, których dane zostały wykradzione przez cyberprzestępców. Ministerstwo Finansów przekazało nam:
„Dane osobowe pracowników resortu finansów - w tym KAS - mogły zostać wykradzione w związku z atakiem na EuroCert. (…) Informacji na temat naruszenia i sposobu zminimalizowania jego skutków EuroCert udziela wyłącznie osobom fizycznym, na których dane został wystawiony podpis kwalifikowany”.
Pracownicy KAS wielokrotnie podkreślali, że informacja o naruszeniu ochrony danych osobowych była wysyłana zbiorowo do osób, które korzystały z usług EuroCert. Jedna z osób pracujących w KAS powiedziała: „EuroCert nie może stwierdzić jakie moje dane wyciekły i czy w ogóle wyciekły.”
Inny pracownik stwierdził: „Nie dostałem informacji o wycieku moich danych osobowych, czyli według policji mamy do czynienia tylko z domniemaniem i nie ma podstaw do zgłoszenia incydentu wycieku moich danych w ataku hakerskim. Każdy z nas czuje się niezaopiekowany przez KAS w zaistniałej sytuacji”.
Wspomniane stwierdzenia nie są odosobnione: „Firma odpisała sztampowo, że nie może potwierdzić obecnie, że moje dane wyciekły oraz zachęca do śledzenia komunikatów. To jest kpina. Zgodnie z wskazaniem byłam na policji, ale nie przyjęto zgłoszenia, bo nie mam żadnego potwierdzenia, że sprawa mnie dotyczy” - mówi nam jedna z pracowniczek.
Ukazuje to problematykę wspomnianego incydentu.
Działania Krajowej Administracji Skarbowej
Resort finansów poinformował nas o tym, że pozostaje w stałym kontakcie z EuroCertem oraz Ministerstwem Cyfryzacji, ABW i CBZC.
„Krajowa Administracja Skarbowa i Ministerstwo Finansów we współpracy z CIRF (Centrum Informatyki Resortu Finansów - przyp. red.), prowadzi analizę ryzyka w różnych obszarach, na które incydent w EuroCert może potencjalnie oddziaływać. Przeprowadzono dodatkową kampanię informacyjną w resorcie, a także zwiększony został monitoring przychodzących wiadomości pod kątem przesyłania potencjalnie szkodliwych treści.” – dodaje Ministerstwo Finansów
Stanowisko EuroCertu
W ramach zachowania należytych standardów dziennikarskich podjęliśmy trzykrotną próbę kontaktu z EuroCert. Niestety przedsiębiorstwo dotychczas nie ustosunkowało się do naszych pytań. Nie opublikowano również komunikatu dotyczącego skali naruszenia ochrony danych osobowych.
Podsumowanie
Z racji na bezpieczeństwo każdego z nas, konieczne jest szczegółowe wyjaśnienie incydentu przez EuroCert, który dotychczas nie udzielił publicznie informacji o skali incydentu.
Agata Jagodzińska z Związkowej Alternatywy stawia słuszne pytania o konieczność ujawniania numeru PESEL przy podpisie elektronicznym. O zaprzestanie tej praktyki apelował prezes UODO Mirosław Wróblewski w październiku 2024 roku.
Powyższy incydent stawia wiele pytań na różnych płaszczyznach, a jedną z ważniejszych jest transparentne omówienie ataku grupy ransomware na dostawcę kwalifikowanych usług zaufania. Nadal nie wiemy, czy dane 100 tys. osób zostały wykradzione przez RansomHub.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Jak odkryto blokady w pociągach Newagu?