Google hacking. Kilkaset numerów PESEL w arkuszach Excela

Niektóre wyszukiwarki pozwalają na zastosowanie dodatkowych parametrów, innych niż zbiór od jednego do kilkudziesięciu słów. W przypadku wyszukiwarki Google możliwe jest wykorzystanie dodatkowych operatorów czy symboli, takich jak cudzysłowy czy „OR”.

Przykładowo, szukając materiałów powiązanych z tematem Google hackingu oraz Google dorkingu zastosowałem zapytanie, które zwróciło kilka artykułów z naszego portalu, ściśle związanych z tematem:

Odpowiedzialność karna

Warto również pamiętać o tym, że nieuprawniony dostęp do systemów może podlegać odpowiedzialności karnej. Na przykład, jeżeli znajdziemy publicznie dostępne dane logowania do systemów, nawet przysłowiowe „admin:admin”, nie możemy legalnie zalogować się na takie konto. Rozdział 33 Kodeksu Karnego „Przestępstwa przeciwko ochronie informacji”, szczególnie art. 267 oraz art. 268 KK, wprost mówią o karze pozbawienia wolności za m.in. przełamanie informatycznych zabezpieczeń lub usuwanie istotnej informacji.

Ustawodawca przewidział również możliwość działania „wyłącznie w celu zabezpieczenia systemu informatycznego” wraz z powiadomieniem dysponenta systemu lub sieci o ujawnionych zagrożeniach oraz poszanowaniu interesu publicznego i prywatnego, opisane w art. 269c KK.

Należy też pamiętać, że takie działanie nie może wyrządzić szkody. W praktyce, zaleca się przede wszystkim uzyskanie zgody administratora systemu przed podejmowaniem jakichkolwiek ofensywnych działań.

Wyszukiwanie dokumentów

Pliki opisywane w artykule nie są już widoczne z poziomu sieci. Z racji na to, że w przyszłości zapytanie może zwrócić pliki zawierające dane osobowe, nie podajemy go w artykule – można jednak stwierdzić, że wykorzystuje powszechnie znane „Google dorki” z nieoczywistymi dodatkami.

Z poziomu wyszukiwarki Google udało mi się znaleźć dwa arkusze Excela, dostępne bez konieczności logowania – wystarczyło użyć odpowiedniego URL-a. Co ważne, pliki były dość nowe – metadane wskazują, że ostatnia modyfikacja miała miejsce w lutym br. oraz listopadzie ubiegłego roku.

Po znalezieniu plików niezwłocznie skontaktowaliśmy się z organizacjami, które były właścicielami dokumentów. Wysłaliśmy także informacyjne zgłoszenie do CERT Polska, co zalecamy w przypadku każdego incydentu m.in. wśród osób fizycznych i jednostek samorządu terytorialnego.

Wzorowe zachowanie fundacji

Z racji na charytatywny charakter działalności organizacji, fundacja nie została wymieniona w artykule z nazwy.

Pierwszy z arkuszy dotyczył pewnej polskiej fundacji. Zawierał 333 rekordy, które składały się z m.in.:

• imiona i nazwiska;
• numeru PESEL;
• roku urodzenia;
• płci;
• adresu zamieszkania;
• numeru telefonu;
• adresu e-mail;
• wzrostu;
• wagi.

Niezwłocznie skontaktowaliśmy się z fundacją, aby zgłosić widoczność tego pliku z poziomu sieci, co zrobiono w godzinach popołudniowych. Niecałe 3,5 godziny później przekazano nam obszerne stanowisko dotyczące zdarzenia:

„Do opisanej sytuacji doszło w wyniku błędu ludzkiego polegającego na nieprawidłowym ustawieniu poziomu prywatności podczas publikacji pliku na platformie (…). W efekcie plik został oznaczony jako dostępny publicznie, co spowodowało jego zindeksowanie przez zewnętrzną wyszukiwarkę internetową. Było to działanie precedensowe – platforma standardowo nie udostępnia tego rodzaju plików w sposób umożliwiający ich indeksowanie, jednak nieprawidłowa konfiguracja widoczności sprawiła, że mechanizmy wyszukiwania potraktowały plik jako ogólnodostępny zasób” – powiedziała nam fundacja, podkreślając, że niezwłocznie poinformuje osoby oraz UODO o naruszeniu i usunie widoczność pliku z poziomu Internetu.

Fundacja skontaktowała się również z nami kolejnego dnia, informując o poinformowaniu poszkodowanych osób. Załączyła też fragment zgłoszenia do UODO. Dowiedzieliśmy się z niego, że według ustawień na platformie plik powinien być widoczny jedynie dla określonej grupy osób, bez udostępniania publicznego linku.

„Pomimo takiego charakteru ustawienia plik został jednak zindeksowany przez wyszukiwarkę, co nie powinno mieć miejsca” – stwierdzono.

Fundacja niezwłocznie skontaktowała się z administratorem platformy, która w ciągu 90 minut zajęła się incydentem. Wiemy również, że kilka godzin później dokument nie był możliwy do pobrania z poziomu Internetu – „plik został fizycznie usunięty z serwera”. Sytuacja miała miejsce w godzinach nocnych.

Warto dodać, że fundacja złożyła wniosek do Google, który dotyczy „usunięcia śladów z pamięci podręcznej wyszukiwarki”, obejmujący:

• natychmiastowe usunięcie adresu URL z wyników wyszukiwania Google;
• usunięcie wszelkich kopii buforowanych i migawek strony;
• odświeżenie indeksu, aby zapobiec ponownemu pojawieniu się linku w wynikach wyszukiwania.

Incydent wynikał z nieprawidłowego ustawienia prywatności w panelu publikacji plików na platformie (...), co miało charakter błędu ludzkiego połączonego z problemem technicznym wyjaśnianym obecnie z administratorem narzędzia (...). Po wykryciu naruszenia dostęp został niezwłocznie zablokowany, a dodatkowo podjęto działania mające na celu zminimalizowanie ryzyka dalszego udostępniania danych poprzez wyszukiwarki.
Fundacja

Reakcja fundacji zasługuje na wyróżnienie, ponieważ dochowała wszelkich standardów zgłoszenia do UODO i informowania osób (art. 33 i art. 34 RODO) oraz podjęła niezwłoczne i skuteczne działania w celu ukrycia widoczności pliku, który był wystawiony „na świat”.

Inny kraj, podobny incydent

W maju ub. r. informowaliśmy o karze 750 tys, funtów za omyłkowe upublicznienie arkuszu Excela z danymi prawie 10 tys. północnoirlandzkich policjantów – wszystkich funkcjonariuszy na tej części wyspy.

„Plik zawierał m.in. nazwiska, inicjały, stopnie i miejsca zamieszkania. Zgodnie z ustaleniami ICO, wielu funkcjonariuszy musiało przeprowadzić się pod inne adresy” – stwierdzono wówczas w artykule.

Według ICO, dane miały być dostępne w „ukrytej” zakładce arkusza, który był odpowiedzią na zapytanie o dostęp do informacji publicznej. Wiemy również, że plik miał być widoczny przynajmniej przez dwie godziny.

Podczas poszukiwań udało się znaleźć arkusz Excela w Biuletynie Informacji Publicznej Gminy Police, który był pewnym wykazem przekazanym do publicznej wiadomości. W pierwszym, domyślnie widocznym arkuszu w pliku, nie zawarto żadnych informacji wymagających szczególnej ochrony. Co ciekawe, cache Google’a nie pokazywał zawartości pliku.

W drugim arkuszu w skoroszycie znalazła się tabela z 45 rekordami, które zawierały m.in.:

• imię i nazwisko;
• numer PESEL;
• ulicę zamieszkania (lecz bez konkretnego adresu, np. „Marszałkowska" lub „Miedziana");
• położenie nieruchomości – ulicę i numer wewnętrzny (inny od adresu);
• numer telefonu.

Informację o widoczności pliku z poziomu Internetu w BIP-ie przekazaliśmy niezwłocznie do gminy oraz CERT Polska. Kolejnego dnia (po upływie minimum 20 godzin) plik wciąż był widoczny z poziomu sieci. Wiemy jednak, że drugiego lub trzeciego dnia od zgłoszenia usunięto możliwość uzyskania dostępu do pliku za pomocą URL – niestety nie możemy dokładnie stwierdzić daty.

Po kilku dniach wciąż nie otrzymaliśmy odpowiedzi na pytania dotyczące zdarzenia, które niezwłocznie zamieścimy w artykule po ich otrzymaniu. Z racji na usunięcie pliku wiemy, że jednostka ma informacje o zdarzeniu, dlatego zakładamy, że podjęła wszelkie środki wskazane w RODO (zgłoszenie do PUODO w ciągu 72 godzin od wykrycia naruszenia).

Podsumowanie

„Google dorking”, zwane również „Google hacking”, wciąż pozwala na znajdowanie plików, które nie powinny być widoczne z poziomu sieci. Wykazaliśmy to także w artykule odnośnie zgłaszania incydentów, gdzie wykryliśmy i zgłosiliśmy widoczność m.in. danych osobowych uczniów oraz graczy w jednym z wojewódzkich związków piłki siatkowej.

W czerwcu informowaliśmy o widoczności danych na rządowym portalu. Kilka miesięcy po wykryciu zdarzenia opisaliśmy je publicznie, wraz z informacją o „braku odpowiedzialności administratora witryny za dane w bazie”. Po publikacji artykułu dane przestały być widoczne.

Jeżeli widzimy w Internecie treści, które nie powinny być widoczne z poziomu sieci lub mają stricte charakter oszukańczy, warto zgłosić to do CERT Polska za pomocą dedykowanego formularza. SMS-y można przekierowywać na numer 8080.

Pamiętajmy również o odpowiedzialności (w tym karnej) za to, co robimy z pozyskaną informacją. Nasze działania powinny być podyktowane wyłącznie troską o dobro innych osób.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.