Atak na Polską Agencję Antydopingową. Wyciekło „wszystko”

W ubiegłym tygodniu Polska Agencja Antydopingowa (POLADA) opublikowała w mediach społecznościowych oświadczenie, w którym poinformowała o ataku hakerskim. Wstępne ustalenia miały wykazać, że za incydentem stoi grupa powiązana ze służbami wrogiego państwa.

UODO: wyjaśniamy sprawę

POLADA zawiadomiła organy ścigania, CERT Polska, Urząd Ochrony Danych Osobowych oraz Ministerstwo Sportu i Turystyki. UODO potwierdziło nam, że sprawa ataku hakerskiego na Agencję jest mu znana. Jak się dowiedzieliśmy, Urząd prowadzi postępowanie wyjaśniające.

Wyciek z POLADY. Komunikat do sportowców

Na naszych łamach wskazywaliśmy, że doszło do wycieku danych. Zostały one ujawnione w sieci, a do osób poszkodowanych wysłano specjalne wiadomości informujące o incydencie. 

Jej treść opublikował w swoich social mediach utytułowany polski kolarz torowy Wojciech Pszczolarski. Czytamy, że naruszenie ma obejmować takie dane jak: imiona, nazwiska, adresy zamieszkania, numery telefonów i adresy e-mail. 

W praktyce sprawa wygląda znacznie poważniej. Adam Haertle na łamach Zaufanej Trzeciej Strony opublikował analizę bazy danych POLADA, która krąży w internecie. 

Polska Agencja Antydopingowa zhakowana

Okazuje się, że atakujący wykradli „wszystko” (takiego określenia użył Adam Haertle): od informacji na temat sportowców, w tym danych medycznych, przez raporty badań antydopingowych, po – uwaga – „dane prywatne z komputerów użytkowników – gry, w które grają ich dzieci, zdjęcia z wakacji czy dokumenty rozwodowe”. 

Łącznie mówimy o plikach wielkości 242 GB, które, według informacji przekazanych sportowcom przez POLADA, zostały udostępnione w sieci 6 sierpnia br.

POLADA zwlekała kilka miesięcy?

Interesującym odkryciem Adama Haertle jest także możliwy czas kradzieży danych. Analiza incydentu sugeruje, że atakujący mogli je pozyskać pod koniec… kwietnia br.

Skierowaliśmy do Agencji pytanie o czas wykrycia problemu, lecz na razie nie uzyskaliśmy żadnej odpowiedzi. Jeśli faktycznie do zhakowania doszło kilka miesięcy temu, a POLADA zwlekała z poinformowaniem osób poszkodowanych o zdarzeniu, możemy mieć do czynienia z poważnym zaniedbaniem po stronie Agencji. 

Tysiące ofiar?

Ponadto, pytania rodzi rozsyłany mailowo komunikat. Wskazano w nim na mocno ograniczony katalog naruszonych danych (imiona, nazwiska, adresy zamieszkania, numery telefonów i adresy e-mail), podczas gdy analiza Adama Haertle pokazuje na ogromną skalę incydentu. Sprawa dotyczy naprawdę bardzo wrażliwych informacji i to dotyczących dużej liczby osób. 

„Prawdopodobnie wszystkie osoby, które na przestrzeni ostatnich kilku lat były w Polsce poddawane testom antydopingowym, a takich są tysiące” – czytamy na Zaufanej Trzeciej Stronie. 

Polska Agencja Antydopingowa nie umie w bezpieczeństwo

Dodatkowo, strona internetowa Agencji jest niedostępna dla użytkowników. 6 sierpnia br. atakujący mieli zmodyfikować witrynę, dzięki posiadaniu przez nich poświadczeń jednego z pracowników POLADA. 

Ktoś dane logowania do WordPressa przechowywał w dokumencie Word na komputerze. I co ciekawe, wyciek pokazuje, że to powszechna praktyka w Agencji. Nie wspominając już o „silnych” hasłach typu „Be@ta123” (w tym zakresie mamy materiał godny polecenia: Bezpieczeństwo haseł. Fakty i mity).

Podjęliśmy próbę kontaktu z podmiotami zaangażowanymi w badanie incydentu oraz administratorem danych. W momencie uzyskania odpowiedzi, udostępnimy je na naszych łamach.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].