Polityka i prawo
Serwis Bezpiecznedane.gov.pl. "Aktualizacja jest skutkiem analizy wielu kwestii"
Portal bezpiecznedane.gov.pl powstał 31 maja 2023 roku. Serwis umożliwia Polkom i Polakom sprawdzenie tego, czy ich dane zostały udostępnione w sieci przez cyberprzestępców. Zapytaliśmy Ministerstwo Cyfryzacji o funkcjonowanie serwisu.
Na początku czerwca informowaliśmy o tym, że platforma ostatni raz była aktualizowana prawie pół roku temu. Portal wspierany przez NASK pozwala na wyszukanie adresów e-mail oraz loginów w bazie serwisu, która zawiera rekordy z różnych wycieków danych. Ostatnia aktualizacja portalu miała miejsce 9 lipca bieżącego roku.
Czytaj też
Wśród historii aktualizacji wycieków możemy znaleźć trzy źródła danych: data stealer (maj 2023), wyciek z ALAB (listopad 2023) oraz wyciek z megamodels(.)pl (luty 2024). Informacja o ostatnim wycieku pojawiła się niedługo po naszym artykule, gdzie jako pierwsi opisaliśmy ową sprawę. Cyberprzestępcy upublicznili m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety dużą część haseł udało się nam odzyskać, ponieważ przechowywane były z wykorzystaniem przestarzałego algorytmu SHA-1.
Czytaj też
Portal bezpiecznedane.gov.pl w tym przypadku spełnił swoją rolę, jednakże w historii aktualizacji nie wymieniono np. wycieku z Ticketmaster, który zawierał dane Polaków.
Aktualizacje portalu
Zapytaliśmy Ministerstwo Cyfryzacji o to, czy brak aktualizacji portalu Bezpieczne Dane spowodowany jest brakiem zarejestrowanych incydentów dot. wycieków danych. W odpowiedzi usłyszeliśmy, że aktualizacja jest „skutkiem analizy wielu kwestii”. Należą do nich m.in. stopień uporządkowania danych, istnienie skuteczniejszej (bezpośredniej) metody poinformowania osób pokrzywdzonych, niepowtarzalność i aktualność danych oraz… skala wycieku.
„Bardzo istotna jest również możliwość pozyskania danych, które wyciekły, na co wpływa m.in. jawność opublikowania wycieku, jego rozmiar czy serwer, na którym opublikowano wyciek” – dodało ministerstwo.
Tylko dane tekstowe
Wiele wycieków zawiera dane osobowe w formie skanów lub zdjęć dokumentów. Taka sytuacja miała miejsce w przypadku ataków na PUP Police, SuperDrob, Vindix czy Briju, które opisywaliśmy jako pierwsi w Polsce na łamach naszego portalu.
Skierowaliśmy do ministerstwa pytanie o to, czy portal zbiera dane pochodzące jedynie z plików tekstowych (np. .txt czy .sql) oraz z innych miejsc, np. faktur, skanów i zdjęć dokumentów urzędowych. W odpowiedzi usłyszeliśmy:
Dane opublikowane za pomocą portalu pochodzą tylko ze źródeł, z których można pozyskać je w sposób automatyczny. Są to dokumenty tekstowe, arkusze danych, pliki PDF oraz pliki baz danych.
Ministerstwo Cyfryzacji
Oznacza to, że informacja o wycieku danych osobowych Polek i Polaków upublicznionych przez cyberprzestępców w takiej formie nie będzie możliwa do wyszukania poprzez portal Bezpieczne dane.
Czytaj też
Wycieki baz danych zawierają znacznie więcej rekordów niż np. z wspomnianego wycieku z SuperDrob. Jednakże skany dokumentów urzędowych potrafią zawierać dane pozwalające np. na kradzież tożsamości, dlatego powinny być uwzględnione w rządowym portalu, nawet jeśli dotyczą niewielkiej grupy osób.
Anonimowość wyszukiwania oraz bezpośrednie zgłaszanie
Zapewniono nas o tym, że użytkownicy nie figurują w logach technicznych pod swoim imieniem i nazwiskiem – każdy użytkownik ma przypisane właściwe ID. Dane niezbędne do funkcjonowania portalu są anonimizowane.
Poinformowano nas również, że jeżeli jesteśmy w posiadaniu plików z wycieków danych powinniśmy zgłosić się do CERT Polska. Nie oznacza to jednak, że przekazane dane zostaną od razu opublikowane na portalu Bezpieczne Dane. „Nie ma możliwości opublikowania wycieku bezpośrednio w serwisie” – kwituje ministerstwo.
Rozwój portalu
Ministerstwo Cyfryzacji przekazało nam, że CERT Polska na bieżąco publikuje informacje o aktualizacji serwisu, w tym o wyciekach danych.
W przyszłości planowane jest powiadamianie użytkowników portalu o aktualizacjach. Obecnie można zauważyć, że Bezpieczne Dane agregują informacje z różnych wycieków, lecz nie są one nigdzie wylistowane. W następujący sposób wygląda wynik zapytania frazy „adam”:
Czytaj też
Podsumowanie
Funkcjonowanie Bezpiecznych danych to słuszny pomysł. Miejmy nadzieję, że aktualizacje portalu będą regularnie przeprowadzane oraz w przyszłości będą uwzględniane nie tylko dane tekstowe.
Serwisem umożliwiającym sprawdzenie tego, czy nasze dane wyciekły do sieci, jest np. Have I Been Pwned.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany