Zhakowano rządowy serwis. Pomimo obowiązywania CHARLIE-CRP [AKTUALIZACJA]

Jak informuje Niebezpiecznik, na rządowym serwisie eFaktura.gov(.)pl od dłuższego czasu (nawet od ponad roku) pojawiały się niepokojące treści, w tym materiały dotyczące portali dla dorosłych. 

„Wygląda na to, że ktoś przejął konto jednego z pracowników i opublikował (podmienił) informacje” – wskazują eksperci. Podkreślają, że „problem dotyczy jednego użytkownika, który opublikował prawie 700 wpisów”. 

Po wejściu na rządową witrynę wspomniane wyżej treści nie były widoczne dla użytkowników. Pojawiały się one w wyszukiwarce Google'a po wpisaniu frazy np. „site: efaktura.gov.pl sex”.

Analiza incydentu przeprowadzona przez specjalistów pokazuje, że pierwszy niepokojący materiał pojawił się w czerwcu 2021 r. Oczywiście nie jest to równoznaczne z tym, że artykuł widniał na rządowej witrynie od tego momentu. Można było go podmienić w ostatnim czasie lub antydatować.

Specjaliści są jednak pewni, że „zhackowana zawartość wisi w serwisie eFaktura co najmniej od sierpnia, bo cache Google z takiej najdalszej daty udało nam się na szybko znaleźć”. 

Zemsta za cyberatak

Jeden z czytelników serwisów Niebezpiecznika zwrócił również uwagę, że rządowy serwis został zhakowany dwukrotnie. 

Kolejny incydent to prawdopodobnie sprawka indonezyjskiej grupy. To miała być jej zemsta za cyberatak na tamtejszy rząd i udostępnienie danych, dokonany przez hakera „Bjorkę”, który na Twitterze miał ustawioną lokalizację: „Warszawa”. 

Eksperci wskazują, że zhakowanie eFaktury przez Indonezyjczyków miało miejsce 14 września br. 

Czy jesteśmy bezpieczni?

Specjaliści radzą, aby na razie nie korzystać z serwisu.

„Ciężko powiedzieć, czy incydent jest wynikiem przejęcia uprawnień do czyjegoś konta, czy może wykorzystania jakiejś podatności (a jeśli tak, czy podatność ta została wykorzystana przez włamywaczy do czegoś więcej niż tylko wrzucenie treści pozycjonujących różne marki). Potencjalnie ktoś mógł umieścić w serwisie złośliwy skrypt, który mógłby przechwytywać dane wprowadzane lub wyświetlane przez użytkowników, ale na razie nie widać żadnych śladów, które wskazywałyby na to, że coś takiego miało miejsce. No i też na tej domenie zbyt wielu wrażliwych danych raczej nikt nie ma gdzie wprowadzić. Wszystko wygląda na typową >>zapleczówkę<< SEO, czyli użycie przejętego serwisu do pozycjonowania stron internetowych firm trzecich” – tłumaczą eksperci Niebezpiecznika.

Na ten moment rządowy serwis jest niedostępny dla użytkowników.

AKTUALIZACJA: Komunikat Ministerstwa Finansów

W związku z doniesieniami o zhakowaniu rządowej witryny Ministerstwo Finansów opublikowało komunikat, w którym podkreslono, że „Krajowy System e-Faktur działa prawidłowo”.

„KSeF jest na bieżąco monitorowany przez Ministerstwo Finansów, a dane z wystawionych faktur są bezpieczne” - wskazuje resort. MF zwraca uwagę, że dane w ramach KSeF oraz komunikacja są szyfrowane.

„Autoryzacja w systemie jest zabezpieczona na najwyższych dostępnych poziomach. W celu uwierzytelnienia zakłada się bowiem bezpieczeństwo systemu certyfikatów kwalifikowanych, podpisu zaufanego oraz dodatkowych mechanizmów kryptografii opartej o klucze symetryczne i asymetryczne. Dotychczas nie odnotowano żadnych przypadków wycieku danych” - wyjaśniono w komunikacie.   #READ[ articles: 1010740 | showThumbnails: true ]

Rządowy serwis

eFaktura to oddzielny projekt Ministerstwa Rozwoju i Technologii. Powstał w celu świadczenia e-usług w zakresie fakturowania specjalizowanego dla przedsiębiorców. 

Z naszych ustaleń wynika, że serwis jest przypięty do domeny „gov.pl” (która w teorii ma być bezpieczna), lecz nie spełnia warunków, ponieważ „nie było czasu, by się nim zająć”. 

I co z tym CHARLIE-CRP?

Należy mieć na uwadze, że incydent miał miejsce w trakcie obowiązywania stopnia alarmowego CHARLIE-CRP, a więc trzeciego w czterostopniowej skali. Obowiązuje on nieprzerwanie od 21 lutego br., płynnie zastępując drugi stopień ALFA-CRP, który wprowadzono 15 lutego (a więc jeszcze przed wybuchem wojny w Ukrainie). 

CHARLIE-CRP zakłada m.in., że organy publiczne i podmioty bezpieczeństwa mają wprowadzić całodobowy dyżur administratorów systemów i personelu za nie odpowiedzialnego, dokonać przeglądu dostępnych zasobów zapasowych (aby można było je wykorzystać, jeśli zajdzie taka potrzeba) oraz być gotowym do wdrożenia planów, pozwalających na utrzymanie ciągłości działania po wystąpieniu ataku. Więcej na ten temat można znaleźć w materiale: Stopnie alarmowe CRP. Na czym polegają?

Incydenty związane z eFakturą, ujawnione przez Niebezpiecznika, budzą wątpliwość co do skuteczności działań podejmowanych na podstawie przepisów o III stopniu alarmowym, który wprowadzono na podstawie decyzji premiera Mateusza Morawieckiego.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].