Cyberbezpieczeństwo
Polska firma IT zhakowana. Wielki wyciek danych
Na początku października br. doszło do naruszenia danych osobowych pracowników, klientów i kontrahentów firmy Atende SA, jednej z czołowych grup kapitałowych w branży IT w Polsce. W związku z atakiem hakerskim, cyberprzestępcy żądali okupu pod groźbą publikacji danych. Spółka nie spełniła ich żądań i ostatecznie w nocy - z poniedziałku na wtorek - doszło niestety do wycieku.
Dokładnie 4 października br. zarząd Atende SA poinformował, że posiada wiedzę o incydencie bezpieczeństwa IT i wycieku danych z firmowej sieci. W oficjalnym oświadczeniu podał, że o podejrzeniu popełnienia przestępstwa zawiadomiono Prokuraturę Okręgową Warszawa – Praga w Warszawie. Poinformowano też Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), Prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz CERT Polska.
„Incydent nie wpływa na operacyjne działanie spółki. Atende SA podjęła natychmiast działania zabezpieczające sieć, systemy spółki i dane klientów” - informowano 4 października w oświadczeniu.
Naruszenie danych osobowych klientów, pracowników, kontrahentów
W kolejnym oficjalnym komunikacie firma Atende SA poinformowała o naruszeniu poufności danych osobowych pracowników, zleceniobiorców, klientów oraz kontrahentów spółki.
„Powyższe (naruszenie poufności danych - red.) było wynikiem zewnętrznego, nieuprawnionego dostępu do infrastruktury IT spółki, w której przetwarzane były dane osobowe w różnych ich zakresach. Aktualnie trwa ich ustalanie” - wskazano wtedy.
Atende ostrzegało także przed ryzykiem kradzieży lub sfałszowania tożsamości, próbą uzyskania autoryzacji do usług bankowych, telekomunikacyjnych czy ubezpieczeniowych. „Wynikiem powyższych działań może być m. in. zaciągnięcie zobowiązań finansowych w Państwa imieniu i strata finansowa” - przestrzegała spółka.
W tym miejscu warto zaznaczyć, że należy zastrzec numer PESEL, by uniknąć tego typu sytuacji (o tym, jak to zrobić, pisaliśmy w tym materiale). Zastrzeżenie numeru PESEL sprawi, że nikt nie będzie mógł wykorzystać go bez wiedzy/ zgody klienta, by np. zawrzeć umowę kredytową czy wziąć pożyczkę. Z kolei instytucje finansowe mają obowiązek sprawdzić czy PESEL został zastrzeżony - w takiej sytuacji za wszelkie zobowiązania finansowe na tzw. fałszywą tożsamość odpowiedzialność ponosi instytucja, a nie klient.
Czytaj też
Ostrzeżenie przed spoofingiem i phishingiem
Z kolei w ostatnim opublikowanym na stronie internetowej firmy oświadczeniu możemy przeczytać: „W ostatnim czasie otrzymaliśmy informacje o możliwych przypadkach phishingu, jak i spoofingu, czyli prób oszustw mających na celu wyłudzenie poufnych informacji poprzez podszywanie się pod pracowników Atende”.
Cyberprzestępcy żądali okupu, nie dostali ani grosza
Po kradzieży danych firmy, cyberprzestępcy żądali okupu. Atende SA zdecydowało się nie zapłacić ani grosza. Do końca firma mogła łudzić się, że - w przypadku braku zapłaty - skończy się tylko na groźbach. Jednak tym razem cyfrowi kryminaliści spełnili swoją obietnicę.
W nocy z poniedziałku na wtorek (z 21 na 22 października) opublikowali setki dokumentów firmowych.
Umowy
W jednym z katalogów znajdują się skany najprawdopodobniej wszystkich umów, które Atende zawierało z firmami i organizacjami publicznymi w latach 2000 - 2012 oraz 2015 - 2020. Dokumenty rozdzielone są do różnych segregatorów (folderów) i mają przypisane numery. Oprócz nich dołączone jest archiwum Excela, które pozwala znaleźć konkretne umowy na podstawie nazw.
Liczbę dotkniętych organizacji można liczyć w setkach - dokładne określenie zakresu wycieku może zająć dziesiątki godzin. Umowy zostały zawarte zarówno z przedsiębiorstwami, jak i administracją publiczną.
Poczta i ocean danych osobowych
W katalogach POCZTA PRZYCHODZĄCA i POCZTA WYCHODZĄCA znajduje się 10 GB załączników, przede wszystkim w formacie PDF.
Niestety dalsza analiza wykazała, że w wycieku znajduje się wiele danych osobowych pracowników. Cyberprzestępcy upublicznili m.in. pełnomonictwa oraz dokumenty konieczne do rejestracji, bądź wyrejestrowania się z ubezpieczenia. Takich plików jest minimum kilkadziesiąt.
Zarząd i poświadczenia bezpieczeństwa
W katalogu Zarząd znajdują się m.in. dokumenty zawierające numery PESEL i inne dane osobowe członków zarządu firmy. Wśród nich znajdują się m.in. poświadczenia bezpieczeństwa. Z racji na dobro osób postronnych nie publikujemy szczegółów.
Pozostałe pliki
Proces analizy 744 300 plików na pewno zabierze analitykom wiele czasu. Udało nam się dotrzeć m.in. do takich danych, jak:
- Lista 222 pracowników, zawierająca m.in. numer telefonu oraz stanowisko;
- Klikadziesiąt par login:hasło, wraz z linkiem do portalu lub opisem - niektóre z nich to konta administratora;
- Zestaw informacji o pewnej osobie, jej małżonku i dzieciach - wraz z adresem zamieszkania;
- Klucze prywatne do logowania z wykorzystaniem SSH.
Atende SA: "Nie jesteśmy i nigdy nie będziemy zakładnikami przestępców"
Z kolejnego oświadczenia - po publikacji danych przez cyberprzestępców - przekazanego naszej redakcji wynika, że według dotychczasowych ustaleń, incydent dotyczył jednego serwera plików, z którego przestępcy pobrali dane dotyczące pracowników i umów z klientami.
„Nie znaleziono dotąd przesłanek wskazujących, że zdarzenie objęło inne systemy i usługi. Powłamaniową analizę całego środowiska IT prowadzi niezależna, zewnętrzna firma. Po uzyskaniu informacji o dokonanym we wrześniu ataku natychmiast ustaliliśmy jego wektor i zablokowaliśmy możliwość ponownej ingerencji. Odizolowaliśmy zaatakowany serwer i wdrożyliśmy dodatkowe środki bezpieczeństwa, m.in. rozszerzając system dwuskładnikowego uwierzytelniania na wszystkie konta VPN” - przekazał zarząd firmy redakcji CyberDefence24.pl.
Spółka przypomina, że zawiadomiła CBZC, PUODO oraz CERT Polska.
Jak zaznaczają przedstawiciele Atende ”walka z cyberprzestępczością będzie przynosić rezultaty, jeśli przestępcy nabiorą przekonania, że jedyną konsekwencją ich czynów może być kara, a nie czerpanie zysków z przestępstwa”.
„Dlatego podjęliśmy współpracę z organami ściągania i przekazujemy im wszystkie niezbędne informacje. Nie ulegliśmy szantażowi sprawców ataku, żądających od nas okupu i dziękujemy wszystkim klientom, którzy jednoznacznie i bez wahania wsparli nas w tej decyzji” - wskazano w przekazanym nam stanowisku.
Zarząd spółki apeluje także: „Nie jesteśmy i nigdy nie będziemy zakładnikami przestępców, pozostaniemy nieugięci wobec ich żądań. Apelujemy o odpowiedzialność także do wszystkich, którzy mogą wejść w posiadanie danych wykradzionych z naszego serwera. Jesteśmy zdeterminowani, aby podejmować zdecydowane kroki prawne wobec każdego, kto będzie pobierać i upubliczniać skradzione przez przestępców dokumenty, naruszając tajemnicę handlową naszej spółki i jej klientów oraz poufność danych osobowych. Interesy klientów, kontrahentów oraz pracowników są dla nas priorytetem”.
Firma zapewnia także, że przekazała jej klientom i partnerom informacje o danych, które znalazły się w wycieku, zalecenia działań prewencyjnych oraz wsparcie w technicznych kwestiach związanych z „dodatkowymi środkami bezpieczeństwa”.
Atende ma działać w standardowym trybie i obsługiwać klientów bez zakłóceń.
Seria wycieków danych
Jak wynika z naszych informacji, Atende była celem tej samej grupy cyberprzestępczej, co firma AIUT - dostawca zaawansowanych systemów robotyki i automatyki. Jako pierwsi niedawno opisywaliśmy ten wyciek danych na łamach CyberDefence24.pl.
Czytaj też
Co więcej, w ostatni piątek pełnomocnik rządu ds. cyberbezpieczeństwa (formalnie jest nim wicepremier i minister cyfryzacji Krzysztof Gawkowski) ostrzegał, że rośnie liczba incydentów związana z wyciekiem danych. Wobec tego wydano rekomendacje dotyczące zasad cyberbezpieczeństwa o których szerzej piszemy w tym tekście.
Natomiast w sierpniu br. ta sama grupa, która odpowiada za atak na Atende i AIUT, opublikowała 443 gigabajty danych pochodzące z SuperDrob S.A – polskiej firmy zajmującej się produkcją drobiu, co również opisywaliśmy. Jednak na swoim koncie ma ataki na firmy i organizacje z całego świata, m.in. na Bank Rakyat (Malezja), Aaren Scientific (USA), Therabel Lucien Pharma SAS (Francja), AutoCanada (Kanada); BTS Biogas (Włochy).
Czytaj też
Nikola Bochyńska / Oskar Klimczuk
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].