Wyciek danych tysięcy adwokatów. Źródłem nie było NRA

Według Zaufanej Trzeciej Strony, informacja o naruszeniu ochrony danych osobowych została wysłana 14 lutego (piątek) o godz. 20.00. Na zrzucie ekranu widoczna jest m.in. nazwa grupy cyberprzestępców, zakres naruszenia oraz data zgłoszenia.

27 grudnia ub.r. znaleźliśmy informację o tym, że „Fredens of Security” dodało post o rzekomym wycieku z NRA. Niezwłocznie poinformowaliśmy Naczelną Radę Adwokacką o tym fakcie za pomocą rozmowy telefonicznej oraz wiadomości e-mail.

Dane adwokatów

Informacje zawarte w pliku employee_dane.csv są identyczne do tych, które zostały wymienione w komunikacie NRA. Oznacza to, że cyberprzestępcom udało się wykraść:

• imię i nazwisko;
• nazwisko rodowe;
• umer PESEL;
• hash hasła.

Warto przy tym podkreślić, że nie wszystkie rekordy zawierają numery PESEL oraz hashe haseł. Nasza analiza wykazała, że brak numeru PESEL dotyczy przede wszystkim imion i nazwisk, które mają zagraniczne pochodzenie, aczkolwiek nie jest to regułą.

Udało się nam ustalić, że w pliku znajduje się 10 337 unikalnych imion i nazwisk. Liczba numerów PESEL wynosi 9037, przy czym 38 osób urodziło się przed 1925 rokiem, zaś 18 osób po 1994 roku. Komunikat NRA wspomniał o tym, że pliki pochodzą z 2021 roku.

Niektóre z imion i nazwisk wyglądają na przypadkowe, lecz ich liczba jest niewielka – ostrożne szacunki wskazują na mniej niż 100 fałszywych wyników, choć ta liczba nie jest pewna.

Nieszczęsne hashe

Liczba hashy w pliku wynosi 2451, co daje około 25% całości rekordów. Warto przy tym dodać, że były wygenerowane za pomocą algorytmu SHA-1, który został opublikowany 30 lat temu i jest uznawany za przestarzały. Hasło jednej osoby brzmiało „Haslo123”, co umożliwiło szybkie sprawdzenie używanego algorytmu. W losowej próbce 20 hashy udało się odwrócić 20% z nich za pomocą narzędzia online.

Z zawiadomienia NRA (opublikowanego przez Z3S) wiemy, że hashe haseł dotyczą systemu obsługi adwokatury (e-SOA). W wpisie na portalu X dołączono również link do komunikatu Adwokatury w Krakowie z 9 stycznia br., który mówił o resetowaniu haseł do panelu e-SOA.

„Operacja ta wykonana została w trosce o bezpieczeństwo oraz zgodnie z najlepszymi praktykami ochrony danych.” – zawarto w komunikacie krakowskiej Izby Adwokackiej.

Naczelna Rada Adwokacka i źródło wycieku

Biuro Prasowe NRA przekazało nam informacje dotyczące incydentu. O zdarzeniu niezwłocznie został poinformowany Prezes Urzędu Ochrony Danych Osobowych. Rozpoczęto również szczegółową analizę, prowadzoną przez podmiot świadczący usługi w zakresie cyberbezpieczeństwa, która nadal trwa.

NRA poinformowało również o prawdopodobnym źródle wycieku.

„Wstępne ustalenia wskazują, że ewentualny wyciek nie pochodził z infrastruktury Naczelnej Rady Adwokackiej, lecz mógł pochodzić z infrastruktury podmiotu współpracującego z NRA przy budowie systemu informatycznego, który posiadał dane na podstawie prawidłowego ich powierzenia. Incydent nie dotyczy wszystkich adwokatów, a także nie obejmuje wszystkich danych” – czytamy w odpowiedzi na nasze pytania prasowe.

Zawiadomienie osób

Naczelna Rada Adwokacka wypełniła obowiązek informacyjny, polegający na poinformowaniu osób o wycieku ich danych.

„Czas przekazania zawiadomienia wynika z faktu, iż aktualnie zakończył się etap analizy danych zawartych w pliku, który pojawił się na Telegramie (w tym danych historycznych), co pozwoliło na ustalenie kręgu osób, które powinny otrzymać takie zawiadomienia. Wymagało to czasu z uwagi na jakość i aktualność pliku, który był przedmiotem analizy, a także fakt, iż znajdowały się tam także dane osób nie będących adwokatami.” – poinformowało nas NRA.

Rada podkreśliła również, że podejmuje szereg działań w zakresie wzmacniania ochrony przed cyberzagrożeniami.

Źródło wycieku

Kluczowe pytanie dotyczy tego, skąd tak naprawdę wyciekły dane. Pozostaje wierzyć w profesjonalne podejście podmiotu zajmującego się budową infrastruktury informatycznej Naczelnej Rady Adwokackiej, skąd mogą pochodzić dane.

Do generowania hashy haseł wykorzystywany był przestarzały algorytm, który był stosowany m.in. przez polską stronę dla modelek, skąd wyciekły dane kilkudziesięciu tysięcy osób.

Kanał na Telegramie grupy cyberprzestępców przestał istnieć w styczniu 2025 roku.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].