Reklama

Polityka i prawo

Serwis Bezpiecznedane.gov.pl. "Aktualizacja jest skutkiem analizy wielu kwestii"

Ministerstwo Cyfryzacji odpowiedziało na nasze pytania dotyczące portalu
Ministerstwo Cyfryzacji odpowiedziało na nasze pytania dotyczące portalu
Autor. Pxhere

Portal bezpiecznedane.gov.pl powstał 31 maja 2023 roku. Serwis umożliwia Polkom i Polakom sprawdzenie tego, czy ich dane zostały udostępnione w sieci przez cyberprzestępców. Zapytaliśmy Ministerstwo Cyfryzacji o funkcjonowanie serwisu.

Na początku czerwca informowaliśmy o tym, że platforma ostatni raz była aktualizowana prawie pół roku temu. Portal wspierany przez NASK pozwala na wyszukanie adresów e-mail oraz loginów w bazie serwisu, która zawiera rekordy z różnych wycieków danych. Ostatnia aktualizacja portalu miała miejsce 9 lipca bieżącego roku.

Czytaj też

Wśród historii aktualizacji wycieków możemy znaleźć trzy źródła danych: data stealer (maj 2023), wyciek z ALAB (listopad 2023) oraz wyciek z megamodels(.)pl (luty 2024). Informacja o ostatnim wycieku pojawiła się niedługo po naszym artykule, gdzie jako pierwsi opisaliśmy ową sprawę. Cyberprzestępcy upublicznili m.in. adresy e-mail, wymiary biustów i funkcje skrótu hasła. Niestety dużą część haseł udało się nam odzyskać, ponieważ przechowywane były z wykorzystaniem przestarzałego algorytmu SHA-1.

Czytaj też

Portal bezpiecznedane.gov.pl w tym przypadku spełnił swoją rolę, jednakże w historii aktualizacji nie wymieniono np. wycieku z Ticketmaster, który zawierał dane Polaków.

Reklama

Aktualizacje portalu

Zapytaliśmy Ministerstwo Cyfryzacji o to, czy brak aktualizacji portalu Bezpieczne Dane spowodowany jest brakiem zarejestrowanych incydentów dot. wycieków danych. W odpowiedzi usłyszeliśmy, że aktualizacja jest „skutkiem analizy wielu kwestii”. Należą do nich m.in. stopień uporządkowania danych, istnienie skuteczniejszej (bezpośredniej) metody poinformowania osób pokrzywdzonych, niepowtarzalność i aktualność danych oraz… skala wycieku.

„Bardzo istotna jest również możliwość pozyskania danych, które wyciekły, na co wpływa m.in. jawność opublikowania wycieku, jego rozmiar czy serwer, na którym opublikowano wyciek” – dodało ministerstwo.

Reklama

Tylko dane tekstowe

Wiele wycieków zawiera dane osobowe w formie skanów lub zdjęć dokumentów. Taka sytuacja miała miejsce w przypadku ataków na PUP Police, SuperDrob, Vindix czy Briju, które opisywaliśmy jako pierwsi w Polsce na łamach naszego portalu.

Skierowaliśmy do ministerstwa pytanie o to, czy portal zbiera dane pochodzące jedynie z plików tekstowych (np. .txt czy .sql) oraz z innych miejsc, np. faktur, skanów i zdjęć dokumentów urzędowych. W odpowiedzi usłyszeliśmy:

Dane opublikowane za pomocą portalu pochodzą tylko ze źródeł, z których można pozyskać je w sposób automatyczny. Są to dokumenty tekstowe, arkusze danych, pliki PDF oraz pliki baz danych.
Ministerstwo Cyfryzacji

Oznacza to, że informacja o wycieku danych osobowych Polek i Polaków upublicznionych przez cyberprzestępców w takiej formie nie będzie możliwa do wyszukania poprzez portal Bezpieczne dane.

Czytaj też

Wycieki baz danych zawierają znacznie więcej rekordów niż np. z wspomnianego wycieku z SuperDrob. Jednakże skany dokumentów urzędowych potrafią zawierać dane pozwalające np. na kradzież tożsamości, dlatego powinny być uwzględnione w rządowym portalu, nawet jeśli dotyczą niewielkiej grupy osób.

Reklama

Anonimowość wyszukiwania oraz bezpośrednie zgłaszanie

Zapewniono nas o tym, że użytkownicy nie figurują w logach technicznych pod swoim imieniem i nazwiskiem – każdy użytkownik ma przypisane właściwe ID. Dane niezbędne do funkcjonowania portalu są anonimizowane.

Poinformowano nas również, że jeżeli jesteśmy w posiadaniu plików z wycieków danych powinniśmy zgłosić się do CERT Polska. Nie oznacza to jednak, że przekazane dane zostaną od razu opublikowane na portalu Bezpieczne Dane. „Nie ma możliwości opublikowania wycieku bezpośrednio w serwisie” – kwituje ministerstwo.

Rozwój portalu

Ministerstwo Cyfryzacji przekazało nam, że CERT Polska na bieżąco publikuje informacje o aktualizacji serwisu, w tym o wyciekach danych.

W przyszłości planowane jest powiadamianie użytkowników portalu o aktualizacjach. Obecnie można zauważyć, że Bezpieczne Dane agregują informacje z różnych wycieków, lecz nie są one nigdzie wylistowane. W następujący sposób wygląda wynik zapytania frazy „adam”:

„adam” w Bezpiecznych Danych
„adam” w Bezpiecznych Danych
Autor. Bezpieczne Dane

Czytaj też

Podsumowanie

Funkcjonowanie Bezpiecznych danych to słuszny pomysł. Miejmy nadzieję, że aktualizacje portalu będą regularnie przeprowadzane oraz w przyszłości będą uwzględniane nie tylko dane tekstowe.

Serwisem umożliwiającym sprawdzenie tego, czy nasze dane wyciekły do sieci, jest np. Have I Been Pwned.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama