Serwis Bezpiecznedane.gov.pl. "Aktualizacja jest skutkiem analizy wielu kwestii"

Na początku czerwca informowaliśmy o tym, że platforma ostatni raz była aktualizowana prawie pół roku temu. Portal wspierany przez NASK pozwala na wyszukanie adresów e-mail oraz loginów w bazie serwisu, która zawiera rekordy z różnych wycieków danych. Ostatnia aktualizacja portalu miała miejsce 9 lipca bieżącego roku.

Wśród historii aktualizacji wycieków możemy znaleźć trzy źródła danych: data stealer (maj 2023), wyciek z ALAB (listopad 2023) oraz wyciek z megamodels(.)pl (luty 2024). Informacja o ostatnim wycieku pojawiła się niedługo po naszym artykule, gdzie jako pierwsi opisaliśmy ową sprawę. Cyberprzestępcy upublicznili m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety dużą część haseł udało się nam odzyskać, ponieważ przechowywane były z wykorzystaniem przestarzałego algorytmu SHA-1.

Portal bezpiecznedane.gov.pl w tym przypadku spełnił swoją rolę, jednakże w historii aktualizacji nie wymieniono np. wycieku z Ticketmaster, który zawierał dane Polaków.

Aktualizacje portalu

Zapytaliśmy Ministerstwo Cyfryzacji o to, czy brak aktualizacji portalu Bezpieczne Dane spowodowany jest brakiem zarejestrowanych incydentów dot. wycieków danych. W odpowiedzi usłyszeliśmy, że aktualizacja jest „skutkiem analizy wielu kwestii”. Należą do nich m.in. stopień uporządkowania danych, istnienie skuteczniejszej (bezpośredniej) metody poinformowania osób pokrzywdzonych, niepowtarzalność i aktualność danych oraz… skala wycieku.

„Bardzo istotna jest również możliwość pozyskania danych, które wyciekły, na co wpływa m.in. jawność opublikowania wycieku, jego rozmiar czy serwer, na którym opublikowano wyciek” – dodało ministerstwo.

Tylko dane tekstowe

Wiele wycieków zawiera dane osobowe w formie skanów lub zdjęć dokumentów. Taka sytuacja miała miejsce w przypadku ataków na PUP Police, SuperDrob, Vindix czy Briju, które opisywaliśmy jako pierwsi w Polsce na łamach naszego portalu.

Skierowaliśmy do ministerstwa pytanie o to, czy portal zbiera dane pochodzące jedynie z plików tekstowych (np. .txt czy .sql) oraz z innych miejsc, np. faktur, skanów i zdjęć dokumentów urzędowych. W odpowiedzi usłyszeliśmy:

Dane opublikowane za pomocą portalu pochodzą tylko ze źródeł, z których można pozyskać je w sposób automatyczny. Są to dokumenty tekstowe, arkusze danych, pliki PDF oraz pliki baz danych.
Ministerstwo Cyfryzacji

Oznacza to, że informacja o wycieku danych osobowych Polek i Polaków upublicznionych przez cyberprzestępców w takiej formie nie będzie możliwa do wyszukania poprzez portal Bezpieczne dane.

Wycieki baz danych zawierają znacznie więcej rekordów niż np. z wspomnianego wycieku z SuperDrob. Jednakże skany dokumentów urzędowych potrafią zawierać dane pozwalające np. na kradzież tożsamości, dlatego powinny być uwzględnione w rządowym portalu, nawet jeśli dotyczą niewielkiej grupy osób.

Anonimowość wyszukiwania oraz bezpośrednie zgłaszanie

Zapewniono nas o tym, że użytkownicy nie figurują w logach technicznych pod swoim imieniem i nazwiskiem – każdy użytkownik ma przypisane właściwe ID. Dane niezbędne do funkcjonowania portalu są anonimizowane.

Poinformowano nas również, że jeżeli jesteśmy w posiadaniu plików z wycieków danych powinniśmy zgłosić się do CERT Polska. Nie oznacza to jednak, że przekazane dane zostaną od razu opublikowane na portalu Bezpieczne Dane. „Nie ma możliwości opublikowania wycieku bezpośrednio w serwisie” – kwituje ministerstwo.

Rozwój portalu

Ministerstwo Cyfryzacji przekazało nam, że CERT Polska na bieżąco publikuje informacje o aktualizacji serwisu, w tym o wyciekach danych.

W przyszłości planowane jest powiadamianie użytkowników portalu o aktualizacjach. Obecnie można zauważyć, że Bezpieczne Dane agregują informacje z różnych wycieków, lecz nie są one nigdzie wylistowane. W następujący sposób wygląda wynik zapytania frazy „adam”:

Podsumowanie

Funkcjonowanie Bezpiecznych danych to słuszny pomysł. Miejmy nadzieję, że aktualizacje portalu będą regularnie przeprowadzane oraz w przyszłości będą uwzględniane nie tylko dane tekstowe.

Serwisem umożliwiającym sprawdzenie tego, czy nasze dane wyciekły do sieci, jest np. Have I Been Pwned.