15:51
14/4/2020

Krajowa Szkoła Sądownictwa i Prokuratury miała wyciek danych i na podstawie art. 34 RODO postanowiła powiadomić o wycieku osoby, których wyciek dotyczy. Informacje o tym pojawiły się kilka dni temu na Twitterze, ale pochodząca z wycieku baza danych dostępna jest w sieci od niemal 2 tygodni i zawiera numery telefonów i inne wartościowe dane pracowników sądów i prokuratury.

Numery telefonów do sędziów i prokuratorów

KSSIP to centralna instytucja odpowiedzialna za szkolenie wstępne oraz ustawiczne kadr sądownictwa i prokuratury w Pol­sce. Prowadzi m.in. aplikacje sędziowskie i prokuratorskie. Szkoli i doskonali zawodowo sędziów, asesorów sądowych, prokuratorów i asesorów prokuratury. Odpowiada także za szkolenie i doskonalenie zawodowe referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych oraz urzędników sądów i prokuratury w celu podniesienia ich kwalifikacji zawodowych.

Ta właśnie instytucja poinformowała o wycieku danych. Zgodnie z art. 34 RODO zawiadomienie poszło do osób, których dane dotyczą i nic dziwnego, bo wyciek był poważny. Poniżej jedna z kopii zawiadomienia, która została opublikowana na Twitterze.

 

Pisząc krótko – naruszenie polegało na kradzieży danych z platformy szkoleniowej i miało dotyczyć osób, które zarejestrowały się na platformie do dnia 21 lutego. Wstępnie ustalono, że wyciekły:

  • imiona i nazwiska,
  • numery telefonów,
  • adresy e-mail,
  • miejsca zamieszkania,
  • daty pierwszego i ostatniego logowania,
  • jednostka pracy
  • hasło (“zaszyfrowane” — a w rzeczywistości zahashowane).

KSSIP nie była pewna czy wyciekły numery PESEL, co sugeruje, że choć nie ma ich w ujawnionym pliku, to na serwerze mogły być.

W dyskusjach (choćby tych na Twitterze) widać było, że komunikat nie został uznany za wyczerpujący. Jak rozumieć “miejsce zamieszkania”? Jeśli miałoby to oznaczać tylko miasto to wyciek będzie – powiedzmy – do zniesienia. Wyciek dokładnych adresów zamieszkania mógłby być poważnym problemem dla prokuratorów czy sędziów.

Na szczęście mamy powody by sądzić, że wyciekły “tylko” informacje o miastach. Podkreślamy jednak, że nie możemy być tego w 100% pewni.

Ponad 50 tys. rekordów ciągle wisi w sieci

Już 2 kwietnia na pewnym forum internetowym opublikowano bazę danych z KSIP.gov.pl. Jest to plik CSV o wielkości 12,8 MB. W chwili pisania tekstu plik jest ciągle publicznie dostępny,

W pliku znajduje się 50 283 rekordów obejmujących m.in.:

  • numer ID,
  • nazwę użytkownika,
  • imię i nazwisko,
  • hasz hasła,
  • e-mail,
  • adres IP,
  • numer telefonu lub dwa numery (tylko w przypadku niektórych osób),
  • miasto (w przypadku wielu osób, acz nie wszystkich),
  • wydział (w niektórych przypadkach),
  • adres placówki, w której osoba jest zatrudniona.

Jak widać, PESEL-ów w nim nie ma. W wielu przypadkach adresy e-mail są adresami z popularnych portali (np. wp.pl), ale w bazie jest ponad 21 tys. adresów z końcówką gov.pl, które wskazują na konkretną jednostkę. Liczba numerów telefonów w bazie to nieco ponad 11 tysięcy. Miasto jest podane w przypadku 37 tys. osób. W kilku przypadkach w polu “city” znalazł się także kod pocztowy, a ta dana może zawężać lokalizację.

Fragment omawianej bazy

Uwaga: Nie mamy pewności czy wspomniany plik ujawniony na forum jest wszystkim co wyciekło z KSSIP. Owszem, zakres widocznych w nim danych pokrywa się z tym o czym wspomniano w komunikacie instytucji, ale nie mamy pewności czy na tym wyciek się skończył. Być może KSSIP po logach zna pełniejszy obraz incydentu.

Sędziowie i prokuratorzy i tak nie mają łatwo

Chyba po raz pierwszy widzimy tak obszerny wyciek pracowników sądów i prokuratur. Wyciek o tyle niebezpieczny, że dane zawarte w bazie da się połączyć z danymi w innych źródłach publicznych. Miejmy na uwadze chociażby to, że obecnie swoje oświadczenia majątkowe publikują także sędziowie, asesorzy i referendarze sądowi.

Fragment oświadczenia majątkowego jednej z ofiar wycieku

Nawet bez numerów PESEL i adresów ten wyciek trzeba uznać za bardzo niebezpieczny. Ciekawie będzie zobaczyć jak w tej sytuacji zachowa się KSSIP, na ile przejrzysta będzie komunikacja o dalszych działaniach oraz co w tej sprawie zrobi UODO. Ciekawe też, ile prokuratorom zajmie zdjęcie bazy z serwera.

Co robić, jak żyć?

Standardowo — jak po każdym wycieku, ofiarom sugerujemy zmianę haseł do serwisów i kont, w których hasło mieli takie samo lub podobne jak to do usług KSSIP. Dlaczego? Tego każdy poszkodowany może dowiedzieć się z nagrania naszego darmowego webinara o tym, jak atakuje się konta w serwisach internetowych i jak powinno się je zabezpieczać.

Co jeszcze trzeba zrobić? Trzeba się przygotować na negatywne skutki kradzieży tożsamości — o tym jak sprawdzić jakie dane na nasze temat (już) wyciekły i co zrobić — krok po kroku — jeśli wyciekły oraz z jakich usług i narzędzi skorzystać, a które usługi narzędzia nie mają sensu opowiadałem podczas webinara “Wycieki danych“. Z jego nagraniem możecie zapoznać się tutaj. Polecamy zwłaszcza poszkodowanym w sprawie KSSIP, bo w przypadku prokuratorów i sędziów, negatywne następstwa wycieków mogą one być jeszcze bardziej opłakane w skutkach…

Przeczytaj także:



44 komentarzy

Dodaj komentarz
  1. Tak z ciekawości, jakim hashem są zakodowane hasła?

    • wymagania hasła na platfromie są takie:
      Hasło musi składać się z co najmniej 8 znaków, w tym co najmniej z jednej małej litery, jednej dużej litery, jednej liczby, jednego niestandardowego znaku (np. #,$,^).
      Hasło nie może zawierać spacji.
      dlatego nawet jeśli to jest md5($pass.$salt) proste hasła nie muszą działać

    • To baza moodla więc bcrypt dla nowych kont i aktywnych userów oraz md5 dla starych kont na które dawno nikt się nie logował.

  2. Dzień dobry, mam pytanie. Czy jeśli dziś usunę konto na jednym z popularnych sklepów internetowych to, zakładając, że jakiś wyciek danych już nie nastąpił, przy ewentualnych wyciekach w przyszłości moich danych już tam nie będzie?

    • Nie

    • @Panie Piotrze, bardzo zlosliwa odpowiedz na pytanie zawierajace tyle zaprzeczen i slow o przeciwnych znaczeniach :p

      @Adamie,
      Beda albo ich nie bedzie. Za duzo zmiennych, nawet pomijajac niezbyt precyzyjne pytanie.

      Ps. Nie zgodze sie z Piotrem, bo chociaz zartobliwa wieloznacznosc “Nie” jest poprawna odpowiedzia, najprawdopodobniej przefrunie nad glowa pytajacego…

    • Rzuć okiem troszeczkę do tyłu jak to było z wyciekiem z Moreli i jak w bazie wyglądały “zlikwidowane” konta :)

  3. ktoś ma URL?
    Lepiej mieć niż nie mieć :)

    • Proszę o linka do danych. Odwdzięczę się.

  4. No bardzo dobrze im tak. Jak wyciekły dane z SGGW to wszyscy mieli to gdzieś i nikt się na poważnie tym nie zajął. Owszem, były buńczuczne kontrole i stanowiska…a suma sumarum nic z tego nie wyniknęło.

    • Zapewne dlatego, że ludzie (błędnie) uważają szkodliwość wycieku za zależną od tego, CZYJE dane wyciekły, a nie od tego, JAKIE.

      Studenci – zmuszeni przez ustawę – podają do rekrutacji wszystkie dane z dowodu osobistego z imionami rodziców włącznie, plus adres zamieszkania, adres do korespondencji, telefon, email, przynależność do WKU, oceny z matury, dane ukończonej szkoły, numery świadectw maturalnych.

      Wyciek danych z SGGW danych to tragedia. Wyciek danych z KSSIP jest wiele mniej groźny, bo danych jest wiele mniej.

      Nie kupuję argumentacji, że “to przecież sędziowie i prokuratorzy, ich mogą zaatakować przestępcy”. To jest bardzo szkodliwe i niesprawiedliwe podejście.

      Prawo do prywatności ma KAŻDY – po pierwsze z natury bycia człowiekiem, ale też dlatego, że KAŻDYM kiedyś mogą zainteresować się przestępcy. Zresztą, potencjalny kandydat na SGGW może też za 15-20 lat będzie prokuratorem albo sędzią.

      Jeszcze dodam, że w wypadku studentów przecież poza ocenami wystarczyłby numer dokumentu oraz imię i nazwisko – adresy mailowe czy korespondencyjne mogłyby być nieobowiązkowe. Inne dane nie są niezbędne do rekrutacji, więc – na podstawie m. in. przepisów konstytucji – nie powinny być w ogóle zbierane.

  5. Ten wyciek nie jest przypadkowy , ma spowodowac ze obywatele zaczna na siebie donosic jak za prl-u , akcja wycelowana w PIS

    • Raczej efekt braku profesjonalizmu osób związanych z obecnie rządzącymi (w szczególności Zbigniewem Ziobro), w połączeniu z chaosem spowodowanym epidemią COVID-19 oraz chaosem w związku z pośpiesznie przepychanymi wyborami korespondencyjnymi, i już się dane sypią…

  6. Odpowiedź szczera aż do bólu :-D

  7. Taka baza to na wagę złota każdemu może się przydać w dzisiejszych czasach gdy mandaty sypią się na prawo i lewo a część spraw kierowana jest do sądu :-)

  8. O ile sklep kasuje dane zgodnie z RODO.
    Bo co jeśli nie kasuje zachowując np. historię zamówień.

    Ponadto czym innym usuwanie danych z bieżącej bazy danych a co innego z kopii zapasowych, które również mogą kiedyś “niechcący” wyciec… :(

    • Mogę się mylić, ale sklep ma obowiązek trzymać historię zamówień przez ileś lat, co prawda ma być w nich co zostało sprzedane, a nie komu, ale obowiązek mają.

  9. Byłam ciekawa kiedy niebezpiecznik podejmie temat kssip, jak zwykle trzymacie rękę na pulsie :)

  10. Coś ktoś z url?

  11. A co to za magiczne forum ktoś zna nazwę lub może jakaś mała podpowiedź :-)

    • forum znaleźć nietrudno, ale żeby mieć dostęp do bazy punktów nastukać musisz

  12. Co znaczy wycieklo? Jak wycieklo? Czy byla podstawa do tego zeby trzymac te wszystkie dane razem (to znaczy nie dalo sie tego podzielic, bo zwykle sie da)?
    Dlaczego nikt sie tym nie zajmuje – chcecie mi powiedziec ze glupiego pliku nie moga zdjac?

    Analiza skutkow? Lzejsze wyroki dla najbardziej niebezpiecznych/zdemoralizowanych przestepcow?

    • I to nie sa pytania do niebezpiecznika, tylko do ewentualnych czytajacych z tym zwiazanych… bo na chwile obecna ktos powinien tak dostac(dostawac) po du* ze sprzedajacy na allegro powinni spekulowac na zatyczkach do uszu…

    • > Dlaczego nikt sie tym nie zajmuje – chcecie mi powiedziec ze glupiego pliku nie moga zdjac?

      Przecież ten plik krąży już w darknecie. Nie zdejmą bo nie mogą.

  13. Aż taki wielki wyciek to nie jest, gdyż od kilku lat dane wszystkich sędziów znajdują się na stronie każdego sądu apelacyjnego (a dane wszystkich prokuratorów na stronie prokuratury krajowej) w ich oświadczeniach majątkowych. Są to publiczne dane dostępne dla każdego obywatela (imię i nazwisko sędziego/prokuratora, data i miejsce urodzenia, stanowisko, miejsce zatrudnienia, właściwy urząd skarbowy, spis majątku, wzór podpisu).

    • Telefon i adres oraz hasło też?

    • Piotr Konieczny 2020.04.15 07:47 | # |
      Telefon i adres oraz hasło też?

      No tych danych nie ma w oświadczeniach majątkowych, dlatego właśnie to nie aż taki wielki wyciek, bo nie wszystkie dane wyciekły a jedynie część, gdyż część i tak już była publicznie dostępna.

    • Tylko że nie dotyczy to tylko sędziów, ale i np. urzędników, których dane nie są ogólnie dostępne

    • A PESEL nr telefonu i dokładny adres zamieszkania też jest w tym oświadczeniu ? Chyba niekoniecznie …

    • Tylko ze to sa dodatkowe informacje ladnie zestawione – a kazdy taki “niewinny” dodatkowy set dziala tez jak tabela relacji pozwalajacy polaczyc, albo latwiej polaczyc informacje wczesniej niedostepne (ukryte przez anonimowosc). Przyklad:
      Zgubiles klucz na miescie. Samo w sobie zagrozenie minimalne, bo klucz jeden a mieszkan setki tysiecy. Ale jakbys do niego przytroczyl maskotke firmy X, a ta firma udostepniala liste pracowwnikow to gorzej, a gdyby sie dalo wyszczegolnic pracownikow tylko z twojego miasta jeszcze gorzej, do tego dodaj to na ktorej zmianie pracuja i juz wiesz kogo i kiedy. A znalezienie adresu jednej-kilku osob to nie jest taka trudna sprawa jak setki tysiecy czy nawet kilkuset, ryzyko ze ktos sie zainteresuje tez minimalne.

      To ze informacje odzielnie nie stanowia zagrozenia nie znaczy ze sie nim nie stana jesli zacznie sie je laczyc w coraz wieksze zbiory…

  14. Na jakich forach pojawiają się tego typu informacje? W Tor?

    Podajcie proszę URL’a (do forum nie do tego konkretnego posta), chciałbym pozwiedzać ten świat.

    • Podpowiem że wystarczy zmienić wyszukiwarke z googlowskiej na inną :)

  15. Nie szukajcie tego miejsca. A kto znajdzie niech nie wkleja linku. Wtedy się rozniesie całkiem. Rzeczywiście istnieją pewne wskazówki pozwalające namierzyć gdzie to jest i niestety w tym miejscu są już wpisy tych których zamiary raczej są bardzo niedobre.

    • Już się rozniosło, baza lata po całym internecie

  16. Jak do tej pory tzw. “wymiar sprawiedliwości” bagatelizował kradzież tożsamości i wzięcie przez złodzieja kredytu na czyjeś dane. Ignorancja czasem odbija się rykoszetem, hindusi zwą karmą. Jest akcja – albo jej brak – to jest i reakcja.

    • Jak nie potraficie w 30 sekund tego znalezc w publicznych wyszukiwarkach, to moze lepiej sie tym nie interesowac.

  17. Nie pytajcie o linka bo baza wisi w sieci TOR. Znaleźć ją jest łatwo, ale bez rejestracji i zdobycia zaufania na forum i tak jej nie zobaczycie.

    • Baza jest też w innych miejscach – i w sieci Tor, i poza nią.

      Mam nadzieję, że ten wyciek będzie silnym otrzeźwieniem dla rządzących naszym państwem.

      Zmiany muszą obejmować rzecz najważniejszą: koniec z tworzeniem niepotrzebnych baz i gromadzeniem tam nadmiarowych danych. I ma to dotyczyć nie tylko danych sędziów czy prokuratorów, ale wszystkich ludzi.

      Zabezpieczenia są ważne, ale to nieprzetwarzanie danych jest kluczowe.

  18. To naprawdę interesujące, że ta baza danych tak sobie wisiała i wisiała w Internecie… I nikt z tym niczego nie zrobił. Tak jakby ochrona danych osobowych przez KSSIP nie wykraczała poza granice ich zasobów.

  19. No dziś można w zwykłej przeglądarce znaleźć bez problemu wczoraj nie prawdopodobnie google musiał to przeskanować i jest :-)

  20. Przynajmniej można przeczytać “wzorowy” komunikat. W końcu pisany przez prawników. Wiec żaden inny prawnik się nie może przyczepić. Jakby komuś coś pociekło, to ma wzór.

  21. […] przetargu świadczyła usługi utrzymania serwerów dla KSSIP. To przez niego, wedle pokuratury, doszło do wycieku bazy zawierającej dane osobowe 50 000 pracowników wymiaru sprawiedliwości, który niedawno […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: