Wyciekły hasła z polskich portali

Wycieki danych potrafią mieć różne skutki. Ostatnia aktualizacja portalu bezpiecznedane.gov.pl dodała cztery nowe zbiory danych dotyczących incydentów mających miejsce m.in. w Naczelnej Radzie Adwokackiej, sklepie z artykułami dla dzieci i OIPiP Gdańsk.

Tym razem udało nam się zaobserwować post na znanym blogu hakerskim, który ma zawierać dane pochodzące z pięciu polskich portali. Wśród nich znajdowały się:

• Spółdzielnia Mieszkaniowa Stawki (smstawki.pl);
• Kolskie Towarzystwo Budownictwa Społecznego (ktbs-kolo.pl);
• BIP Zamku Krzyżtopór w Ujeździe (bip.krzyztopor.org.pl);
• BIP Urzędu Miasta i Gminy Iwaniska (iwaniska.pl);
• Podstrona witryny zarządzanej przez AGH (home.agh.edu.pl).

Aby nie promować grupy haktywistów, nie podajemy jej nazwy publicznie. To samo dotyczy forum, na którym ukazał się post.

Poddaliśmy analizie plik dołączony przez cyberprzestępców. Dane wyglądały na autentyczne, dlatego skontaktowaliśmy się z organizacjami wymienionymi w dokumencie.

Akademia Górniczo-Hutnicza

Największą organizacją wymienioną w pliku było AGH. Do sieci trafiło jedynie 47 unikalnych adresów e-mail – bez hashy haseł czy innych informacji. W przypadku tej organizacji incydent nie jest uznawany za poważny.

Częściowo widoczne frazy w linijce „payload” wskazują na tzw. SQL Injection. AGH potwierdziło, że właśnie ta podatność spowodowała wyciek danych. Uczelnia przekazała nam również, że korzystała z MariaDB oraz PHP w aktualnych wersjach. Informacje wykradzione przez grupę pochodzą z „aplikacji opracowanej przez jednego z pracowników AGH”, która po wykryciu zdarzenia została wyłączona. Wiemy też, że w tym przypadku nie planuje się informowania osób o zdarzeniu z racji na to, że przepisy prawa tego nie wymagają.

Pragniemy dodać, że wszystko wskazuje na to, że dane pracowników i studentów AGH nie uległy naruszeniu ochrony.

KTBS Koło

Kolskie TBS poinformowało nas w rozmowie, że dane wykradzione przez cyberprzestępców są autentyczne, lecz nie umożliwiały zalogowania się do portalu – ta funkcja była ograniczona do konkretnych adresów IP. W samym portalu nie znajdowały się żadne dane osobowe.

Przekazano nam również, że z podmiotem kontaktował się CERT Polska niedługo po opublikowaniu posta przez cyberprzestępców. Z pliku dołączonego przez haktywistów wynika, że serwer wykorzystywał nieaktualne wersje oprogramowania - dystrybucję linuksa z 2018 r. wraz z serwerem MySQL w wersji z 2023 roku.

W tym przypadku zdarzenie dotyczy jedynie dwóch rekordów oraz nie miało realnych skutków. Inna sytuacja miała miejsce w pewnej spółdzielni mieszkaniowej.

SM Stawki

Spółdzielnia Mieszkaniowa Stawki w Warszawie została wymieniona na liście udostępnionej przez haktywistów. W tym przypadku incydent dotyczy bezpośrednio użytkowników portalu smstawki.pl, czyli mieszkańców spółdzielni. W pliku można zidentyfikować 320 rekordów, zawierających:

• id;
• login;
• hash MD5 hasła;
• e-mail;
• imię i nazwisko;
• numer (najprawdopodobniej członkowski, o czym świadczy archiwalna podstrona do zakładania konta w portalu).

Niezwłocznie powiadomiliśmy SM Stawki o zdarzeniu. Dowiedzieliśmy się, że dane są autentyczne oraz planowane jest poinformowanie użytkowników o zdarzeniu wraz z wymuszeniem zmiany hasła. Dodatkowo mają zostać wdrożone stosowne aktualizacje oraz zabezpieczenia. Portal nie korzystał z aktualnej wersji PHP. Potwierdzono, że najprawdopodobniej do incydentu doszło przez SQL Injection.

Obecnie link do rejestracji nie działa.

BIP Zamku Krzyżtopór i UMiG Iwaniska

Urząd Miasta i Gminy Iwaniska oraz podmiot odpowiedzialny za BIP Zamku Krzyżtopór dotychczas nie odpowiedziały na nasze pytania lub nie udało się nam z nimi skontaktować. Łącznie tych organizacji dotyczy 21 rekordów, zawierających podobne dane jak w przypadku SM Stawki. Dane pochodzą sprzed kilku lub nawet kilkunastu lat.

Informacje dotyczą kont, które najprawdopodobniej mają dostęp administratora lub moderatora BIP, o czym świadczą wpisy w pliku. Sprawdzenie tej informacji jest niemożliwe ze względu na § 1 art. 267 Kodeksu Karnego, który stanowi:

„Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”

Hashe i hasła

Z całego pliku udało się nam wyodrębnić 343 hashe MD5. 328 z nich jest unikalne, tzn. 15 z nich występowało więcej niż raz. Warto przypomnieć, że MD5 jest algorytmem uznawanym za przestarzały. Podjęliśmy więc próbę złamania hashy, aby uzyskać pierwotne hasła.

Jako słownik wykorzystaliśmy bazę polskich haseł udostępnianą przez CERT Polska, zawierającą nieco ponad milion słów. W zaledwie 30 sekund udało się „odgadnąć” 79 haseł, co stanowi 24% całości unikalnych funkcji skrótu.

To pokazuje, że Polacy stosowali w dużej mierze bardzo proste hasła. Możemy to również dostrzec w analizie hashy haseł z wycieku ze strony dla modelek oraz sklepu z armaturą łazienkową.

Podsumowanie

Powyższy przykład pokazuje, że ważne jest stosowanie unikalnych haseł i aktualizowanie oprogramowania. Warto również wykorzystywać dwuetapowe uwierzytelnianie wszędzie tam, gdzie to możliwe.

Należy również zwrócić uwagę na nazwę postu cyberprzestępców – „PolandiaDB”. Takie określenie na Rzeczpospolitą Polską występuje w czterech językach, z czego trzy z nich są obecne na terenie Indonezji (banjumasański, jawajski i indonezyjski). To nie oznacza automatycznie, że to stamtąd pochodzą haktywiści, lecz warto zauważać takie niuanse.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].