15:23
22/1/2021

Dostęp online do wyników badań medycznych jest bardzo wygodny, ale niestety firmom działającym na rynku medycznym ciągle zdarza udostępniać wyniki w sposób niebezpieczny. Czasem dane zostaną wykradzione przez “złych hakerów” (por. Wyciek danych klientów uPacjenta.pl), ale czasem sam personel umożliwi w zasadzie każdemu pacjentowi pobranie danych innych pacjentów…

Proszę sobie pobrać wyniki z naszego współdzielonego katalogu

Pewien anonimowy czytelnik poinformował nas, że firma Cell-T sp z o.o. z Gdańska udostępniła badanym przez siebie pacjentom, którymi byli nauczyciele, wyniki testów w postaci plików ZIP opublikowanych za pomocą usługi SharePoint:

Nazwy plików odpowiadały numerom badania poszczególnych osób. Po wykonaniu testu pacjent otrzymywał karteczkę z linkiem do powyższego katalogu i swoim numerem.

To nie problem, że widzą cudze pliki, bo one są ZAHASŁOWANE!

Publikowanie wyników badań tak, że ktoś może pobrać cudze wyniki to pierwszy zły pomysł. Owszem, pliki ZIP były zabezpieczone hasłami, ale… to był drugi zły pomysł. Hasła w ZIP-ach da się łamać. Zwłaszcza jeśli — i to jest trzeci zły pomysł hasłem jest PESEL pacjenta.

Jak szybko można złamać hasło, które jest PESEL-em?

Zróbmy mały eksperyment. Przygotujmy plik wyniki.zip i zaszyfrujmy go PESEL-em, np. takim: 91082419899. Teraz spróbujmy policzyć ile czasu zajmie złamanie takiego hasła. Skorzystamy z narzędzia JTR.

Najpierw wyciągamy “hash” z pliku zip:

./zip2john wyniki.zip > hashzip

A potem uruchamiamy łamacza z maską. Tu trochę oszukamy, zamiast dopasowywać do hasła 11 znaków z zakresu 0-9 na każdej pozycji, część z pozycji “przytniemy” tak aby sprawdzać PESEL-e osób urodzonych między 60 a 99 rokiem (zakładając, że nauczycielem nie może zostać osoba w wieku poniżej 21 lat, a więc taka, która urodziła się po 2000 roku oraz taka która ma powyżej 60 lat). Dlatego maska to [6-9]?d[01]?d[0-3]?d?d?d?d?d?d:

Jak widać, PESEL został dopasowany w czasie 54 sekund, co i tak jest kiepskim wynikiem, ale to dlatego, że łamacz uruchomiliśmy na średniej klasy laptopie.

Uwaga: nawet gdyby hasłem do ZIP-a było coś innego, nie tak łatwego do złamania jak PESEL, ciąg o ustalonej długości i formacie, to umożliwienie pobrania plików zaszyfrowanych byłoby złym pomysłem. Coś, co jest w miarę bezpieczne dzisiaj, może być łatwe do złamania jutro. Dlatego lepiej nie umożliwiać wszystkim pobierania danych innych.

Koniec końców, udowodniliśmy, że możliwe było odczytanie wyników badań różnych osób w stosunkowo szybki i prosty sposób, przy pomocy darmowego oprogramowania i typowego komputera. Pliki wynikowe miały one postać dokumentów PDF, które wyglądały mniej więcej tak:

 

Były też pliki “niezabezpieczone” w ogóle… 🤦‍♂️

Gdy skontaktowaliśmy się z firmą Cell-T pisząc na ogólny adres kontaktowy, szybko oddzwoniła do nas przedstawicielka firmy, pani Dominika Żygowska, która poinformowała nas, że:

  1. spółka jest świadoma incydentu gdyż dostała e-mailem zgłoszenie,
  2. udostępniono 20 dokumentów,
  3. UODO zostanie poinformowany o incydencie podobnie jak osoby, których dane dotyczyły,
  4. firma traktuje sprawę poważnie i poprawiła praktyki bezpieczeństwa

Początkowo pomyśleliśmy, że to dobrze, że firma tak sprawnie zareagowała i ulepszyła swoje praktyki. Potem jednak spojrzeliśmy w kalendarz. O problemie dowiedzieliśmy się 19 stycznia, we wtorek. Jeszcze w tym dniu pliki były na serwerze. Tymczasem przedstawicielka Cell-T twierdziła, że “udostępnienie” dokumentów nastąpiło w niedzielę wieczorem, a potem “poprawiono” bezpieczeństwo. Jak poprawiono?!

Dopytaliśmy firmę o tę nieścisłość i otrzymaliśmy następującą odpowiedź, która ujawniła jeszcze większą wpadkę firmy Cell-T.

Incydent dotyczący naruszenia danych osobowych miał miejsce w niedzielę w godzinach 21:15-23:30, o czym powiadomione zostały wszelkie właściwe organy (w tym UODO) oraz osoby których to dotyczy. Dokumenty niezabezpieczone pojawiły się na dysku jedynie w niedzielę.
Wszelkie inne wyniki były prawidłowo zabezpieczone hasłem, nazwą pliku był indywidualny numer kodu kreskowego który pacjent otrzymywał podczas badania, tylko jemu znany. Oznacza to, że inne osoby nie miały możliwości wiedzieć kogo dotyczą inne pliki niż wynik danej osoby.
Pański informator w sposób nielegalny wszedł w posiadanie cudzych danych osobowych – łamiąc zabezpieczenia. Spółka nie odpowiada za działania osób które postępują w sposób niezgodny z prawem, tj. za działania pańskiego informatora. Przypomnę, iż zgodnie z art. 267 kk działanie pańskiego informatora jest przestępstwem. Poza niedzielnym incydentem nikt z pacjentów nie zgłosił żadnych zastrzeżeń do zabezpieczeń stosowanych przez CellT. Mimo wszystko, oczywiście osoba której wynik przesłał Pan nam mailem (przesłany przez informatora) zostanie niezwłocznie zawiadomiona o tym, iż Pański informator złamał zabezpieczenia i nielegalnie wszedł w posiadanie danych osobowych. Zostanie również pouczona o możliwości złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa.
Niemniej jednak, bardzo dziękujemy za uwagi co do zabezpieczeń stosowanych przez Spółkę, w przyszłości praktyka zostanie zmieniona. Ponadto, jak wspomniałam wczoraj, wyniki udostępniane w taki sposób były jednorazowo w zeszłym tygodniu, z uwagi na ogólnopolskie badania przesiewowe nauczycieli i umożliwienie im pobierania wyników samodzielnie, aby przyspieszyć cały proces i umożliwić uczniom powrót do szkoły. Obecnie głównym działaniem CellT jest walka z pandemią, niezwłoczne badanie próbek oraz przekazywanie wyników pacjentom, wspierając Sanepid. Na co dzień wyniki nigdy nie były, nie są, ani nie będą udostępniane w taki sposób.
Mam nadzieję, że powyższe wyjaśnienia okażą się wyczerpujące.

Z tej odpowiedzi wynika, że było znacznie gorzej niż sądziliśmy. W niedzielę opublikowano całkowicie niezabezpieczone wyniki o czym dowiedzieliśmy się niejako przypadkiem, pytając o bezpieczeństwo plików ZIP z hasłami.

Na marginesie dodajmy, że wypowiedzi o “złamaniu zabezpieczeń” i powoływanie się na art. 267 KK jest w tym przypadku są nie do końca trafione.

  • O ile łamanie haseł w ZIP-ach jest łamaniem zabezpieczeń, o tyle podstawowy błąd był po stronie firmy Cell-T — pliki z wynikami badań były udostępniane różnym osobom, nie tylko badanym.
  • Ktokolwiek złamał jakieś hasło (bo w sumie to nie jesteśmy pewni, czy informator to zrobił) działał wyraźnie w celu zabezpieczenia systemu informatycznego. Kodeks karny przewiduje niekaranie osoby, która działała w takim celu (mówi o tym art. 269c KK). Nasz informator, cokolwiek nam przekazał, żądał od nas poinformowania o sprawie firmy Cell-T i doprowadzenia do poprawienia praktyk Cell-T. Nie chciał tego robić bezpośrednio aby uniknąć ewentualnych problemów. I jak widać po reakcji spółki, wyszło mu to na zdrowie.
  • Niestety mamy powody by sądzić, że “zabezpieczone” pliki z wynikami badań mogły pobrać również inne osoby niż nasz informator. Ryzyko jest identyczne w przypadku wszystkich pacjentów, których dane tak udostępniono, a nie tylko w przypadku tych, na których dane mógł się natknąć człowiek zgłaszający nam problem.

 

Co robić? Jak żyć?

Firmom medycznym, które przetwarzają dane pacjentów i udostępniają je online, możemy poradzić jedno — nigdy nie polegajcie na “ułatwieniach” w dostępie do danych. O tym, dlaczego nie warto tego robić, pisaliśmy już w tekście o złych praktykach przy odbieraniu wyników badań (zob. Odbierałeś swoje badania lekarskie przez internet? Mamy nadzieję, że nie w taki sposób).

Podsumujmy krótko podstawowe porady, które przydadzą się nie tylko branży medycznej. PESELE jako hasła stosuje wiele firm:

  1. Nigdy nie udostępniaj wrażliwych danych w taki sposób, aby jedna osoba mogła pobrać pliki przeznaczone dla kogoś innego. Nie ważne, że pliki są szyfrowane albo są na serwerze przez krótki czas. Trzymaj się zasady ograniczonego zaufania i minimalnych przywilejów, użytkownik X ma mieć dostęp do danych użytkownika X i tyle.
  2. Nie używaj w charakterze loginu czy hasła danych klienta (jak np. imię, nazwisko, data urodzenia, PESEL), ani innych danych, które mogą się dostać w ręce osób postronnych (np. numeru faktury/zamówienia) a także takich, które są tworzone według przewidywalnego wzoru (np. kolejne numery – por. Instrukcja tworzenia haseł taka, że aż boli jak się czyta).
  3. Nigdy nie zakadaj, że zabezpieczenie jest dobre, bo jego złamanie jest nielegalne (por Jak przejąć cudze listy? Wystarczy skorzystać z tej nie do końca przemyślanej usługi Poczty Polskiej…).

Jeśli zaś chodzi o samych klientów/pacjentów — tu jak zwykle

polecamy podawać jak najmniej danych, a jeśli Wasza etyka Wam na to pozwala, kłamać co do podawanych danych, np. nazwiska panieńskiego matki (i tak tego nie sprawdzą) lub identyfikatorów po których można Was “skorelować”, czyli np. PESEL-u, jeśli nie jest on wymagany

W wielu gabinetach lekarskich podanie PESEL-u jest obowiązkowe, ale deklaratywne — można wpisać dowolny. Problem może się pojawić przy odbiorze wyników badań (trzeba pokazać dokument tożsamości z tym PESEL-em), ale zazwyczaj można to obejść podając adres e-mail na który przesłane zostaną wyniki lub w zależności od Waszej pewności siebie, grać osobę która nie zabrała portfela z domu z dokumentem, ale “przecież może mnie Pani sprawdzić po numerze telefonu, który wpisałem na karcie rejestracji”, itp.

Te porady mogą się wydawać zbyt ortodoksyjne. Ale brutalna prawda jest taka, że Twoje dane już wyciekły i jeszcze kilka razy wyciekną. W twoim interesie powinno być podawanie ich jak najmniej. Nie licz na kompetencje informatyczne firm, z których usług korzystasz.

ZABEZPIECZ SIĘ PRZED WYCIEKAMI

Rad i trików, które można zastosować aby ochronić swoją prywatność jest zresztą więcej i przekazujemy je w naszym godzinnym szkoleniu online, poświęconym wyciekom danych. Dowiesz się z niego jak zminimalizować ryzyko wycieku i co robić, kiedy do wycieku dojdzie, żeby nie obudzić się np. z niechcianym kredytem. Z kodem PESEL do końca dnia można to szkolenie zobaczyć w cenie aż o 69 PLN niższej. To taniej niż jedna wizyta u lekarza, a jesteśmy pewni, że nasze “lekarstwa” uleczą Twoją prywatność na długo :) Dostęp do szkolenia w obniżonej cenie uzyskasz po kliknięciu w ten link.

Kolejny opis wycieku danych medycznych już po weekendzie!

Nie jest to pierwszy raz, gdy piszemy w Niebezpieczniku o ryzykownych sposobach przekazywania pacjentom wyników badań. Do wycieków może dochodzić po stronie firm medycznych (jak ostatni wyciek z Telemedi.co) albo po stronie firm współpracujących (jak opisywany niegdyś wyciek z firmy obsługującej szpitale z zakresie helpdesku). Zdarzają się też historie nieco zabawne (zob. Wyszukiwała wyniki swoich badań… wśród danych innych pacjentów), także w kontekście “tłumaczeń” firm, które dały ciała (por. Wyciek danych klientów uPacjenta.pl).

Na “pocieszenie” można powiedzieć, że zdrowotne sługi rządowe też miały swoje wpadki. I pewnie jeszcze nie jeden artykuł przed nami dotyczący złego obchodzenia się z danymi pacjentów…

W zasadzie to wiemy, że co najmniej jeden — ale czekamy aż pewna firma posprząta udostępnione przez nią wrażliwe dane medyczne tysięcy pacjentów i dopiero wtedy opiszemy tę wpadkę. Jeśli więc w 2020 roku “leczyliście się zdalnie, przez internet” to musicie jeszcze przez weekend trochę podrżeć ze strachu, bo być może jesteście poszkodowanymi w tym wycieku, ale póki co o tym nie wiecie…

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. Nie ma nic bardziej bezużytecznego na świecie jak zgłoszenie czegokolwiek do uodo, szczególnie krajowego gdyż dla nich każde zabezpieczenie będzie złe, nadal nie rozumiem dlaczego każdy złodziej danych jest bezkarny, może czas zmienić zawód? W sumie niebezpiecznik mocno za tym lobbuje, mam złe skojarzenia

    • i masz niestety rację. UODO/GIODO itp albo olewają temat, albo wykazują się paranoidalnym podejściem do sprawy.

  2. Mam wrażenie że to już nie pierwszy przypadek w którym firma powołuje się na kodeks karny w końcu skoro kodeks karny zabrania czegoś to po co dbać o bezpieczeństwo może by tak zrobić zestawienie takich artykułów w jednym miejscu bo na pewno były już takie przypadki

  3. Maskę można ulepszyć, albo zrobić kilka, bo wasza sprawdza wysokie jedności dla miesiąca i dnia nawet jeśli na pozycji dziesiętnej jest najwyższa opcja, czyli np sprawdza miesiące 13 i dzień 32. No i sprawdza niepotrzebnie podwójne zera (00).
    Ale zasadniczo tak ;)

  4. Czy tego rodzaju praktyk nie należy traktować jako wyciekania PESEL? Bo to jest osobny problem: raz, że zabezpieczenie jest zerowe, a dwa, że w gratisie łatwo ustalić potencjalnie niezawartą w tych dokumentach daną (nawet jeśli w tych badaniach były PESELe, to nie ma ich np. na wyciągach z mbanku).

  5. Meh. Kiedy w końcu ludzie nauczą się, że PESEL jest numerem identyfikacyjnym a nie weryfikacyjnym.

    Każdy kto ma działalność/nieruchomość ma pesel wycieknięty z automatu. Każdy kto studiował czasach, kiedy listy obecności/ocen naklejano na drzwi pokojów, itd ma najprawdopodobniej wycieknięty pesel.

    Do tego dochodzą takie kwiatki: https://www.wykop.pl/link/5731883/konsultant-play-a-ochrona-danych-osobowych/

    PESEL, nr dowodu i inne tego typu dane powinny być traktowane jako publicznie znane.

    Byłoby idealnie, gdyby takie rzeczy jak wyniki danych były dostępne na IKP, jeżeli ktoś je sobie założył w postaci 7z z AES zaszyfrowanego hasłem wysyłanym na telefon/mail pacjenta. Czy robiłaby to placówka czy też IKP to już inna sprawa, w zależności od tego jak bardzo ktoś ufa państwu.

    Nie ma niestety co liczyć na podobne rozwiązania, biorąc pod uwagę, że rządzący nadal nie potrafią wdrożyć opartego o profil zaufany mechanizmu credit freeze, który byłby przecież dużo łatwiejszy do zrealizowania.

  6. Ciekawe ile osób poda swój prawdziwy kod PESEL jako kod rabatowy xD

  7. “Nie używaj w charakterze loginu czy hasła danych klienta (jak np. imię, nazwisko, data urodzenia, PESEL), ani innych danych, które mogą się dostać w ręce osób postronnych (np. numeru faktury/zamówienia) a także takich, które są tworzone według przewidywalnego wzoru”

    Inne firmy mają takie praktyki – choćby Virgin Mobile, który “prosi” (a w wielu miejscach wymaga, nawet do bzdur) podania PESELU (albo PUKu) jako metody autoryzacji, w formie tekstu – mailem lub formularzem.

  8. Zabezpieczenie, które można złamać w mniej niż minutę, z całą pewnością jest złe.

  9. Ja nadal nie rozumiem, dlaczego wiele firm/instytucji uważa że PESEL jest znany tylko jego ‘posiadaczowi’ (trochę jak numerek w więzieniu :D ) owszem jest unikalny ale nie trudny do zdobycia niestety :/

  10. Poraza mnie arogancja tej firmy. Niech nie beda zatem zdziwieni jak w przyszlosci zajmnie sie nimi ktos kto nie bedzie sie bawil w zglaszanie tylko skopiuje wszystko co sie da (a pewnosc siebie rzecznika swiadczy o tym ze podobnych kwiatkow moze byc wiecej) i sprzeda na blackmarkecie.

    • te pliki z badaniami dużo nie ważą. można założyć jakiś lewy serwer choćby na OVH, transferować przez niego dane do TOR i ściągać do siebie, i wydobywać “zahasłowane” dane choćby metodą bruteforce. Dane tam zawarte i tak są zrobione szablonem, i zapisane w jednym z popularnych formatów tekstowych, np. PDF lub DOCX , więc tym łatwiej te dane hurtowo wyłuskać.

      A potem blackmarket :) w końcu jakiś chętny się znajdzie kto to wykona, i drugi chętny który to sprzeda. a co tam może się znajdować? no cóż. skoro to badania, to:
      1. imię nazwisko
      2. adres zamieszkania (opcjonalnie)
      3. pesel
      4. nawet numer dowodu tożsamości się trafia
      5. bardzo często telefon i email
      6. data badania, równoznaczna z datą podania pozostałych prawidłowych danych, bo podanie danych fałszywych jak to stwierdził tzw. “rzecznik” tej firmy może mieć konsekwencje z Kodeksu Karnego

      jak widać dla niektórych hasła jednorazowe w postaci pary naklejek z kodem paskowym (jedno dla labu drugie dla klienta) to jest jakiś szczyt nie do przejścia

  11. Przedewszystkim, nigdy nie udostepniamy waznych plikow osobom nieupowaznionym (nawet zabezpieczonych haslem). Bo to jest jedynie zabezpieczenie dodatkowe, cos jak śrutówa pod poduszka. Ma sens jako dodatek do innych zabezpieczen (tak, to ze email jest wysylany do wlasciwego adresata a nie do wszystkich sie kwalifikuje). Nawet podstawowe logowanie na prostej stronie jest juz jakims zabezpieczeniem bo trudniej zaimplementowac niewykrywalnego bruteforca, i nie mozna na przyklad wykorzystac podatnosci znalezionych 20 lat po jej zamknieciu (to ze te pliki zip dalo sie otwozyc z brutforcea, nie znaczy ze za pare lat nie znajdzie sie podatnosc samej enkrypcji (wycieknie uniwersalne haslo producenta, bledy matematyczne w enkrypcji (jak wykluczanie znakow w enigmie) czy techniczne bledy implementacji formatu))

  12. Kłamanie przy podawaniu danych osobowych to nie jest dobry pomysł, zwłaszcza gdy mamy słabą pamięć i nie pamiętamy gdzie i jak mocno nakłamaliśmy. Może się okazać, że zostaniemy oskarzeni o podszywanie się pod kogoś kim nie jesteśmy. Raczej liczyłbym na poradę w stylu “wymieniaj dowód osobisty co pół roku jeśli często rozdajesz swoje dane osobowe na prawo i lewo”. Albo “nie trzymaj grubej kasy w banku, bo nie znasz dnia ani godziny, gdy przyjdzie kornik lub hakier i zajuma całe oszczędności życia”.

    • “podszywanie się pod kogoś kim nie jesteśmy”

      Powiem, ze jestem zaintrygowany – mógłbyś nam tutaj ładnie wykladować, co to dokladnie jest za przestepstwo i kto bedzie nas oskarżal?

  13. Jak odczytać tą częśc maski?
    ?d[01]?d[0-3]

    • ta maska nie wygląda na REGEXP czy PCRE, ale to wygląda jakby na początku miały występować dowolne cyfry 0 i 1 w dowolnej kombinacji i ilości, a po nich kolejne cyfry na tych samych zasadach ale już 0 1 2 i 3 .

    • Trochę zrobiłeś mnie w trąbę :) bo string to:
      [6-9]?d[01]?d[0-3]?d?d?d?d?d?d
      po kolei:
      [6-9]? opcjonalna cyfra zakres od 6 do 9
      d po prostu dowolna obowiazkowa cyfra
      [01]? opcjonalne 0 lub 1
      d? dowolna obowiazkowa cyfra
      [0-3]? opcjonalna cyfra zakres od 0 do 3

      znak zapytania powoduje opcjonalność, i jest stawiany ZA opcjonalną sekwencją

    • Cześć Ja Nosik,
      Dziękuję za odpowiedź
      Czy w takim razie to jest poprawne rozbicie maski:

      [6-9]? – zakres od 6-9
      d – zakres od 0-9
      [01]? – zakres od 0-1
      d – zakres od 0-9
      [0-3]? zakres od 0-3

      d? – zakres od 0-9
      d? – zakres od 0-9
      d? – zakres od 0-9
      d? – zakres od 0-9
      d? – zakres od 0-9
      d – zakres od 0-9
      W sumie 11 znaków – tak jak PESEL.

      Jeśli tak, to wciąż coś mi tu nie gra.
      1. Czym różnie się d? od d
      2. Według dokumentacji nie ma czegoś takiego jak d? i d. Jest natomiast ?d
      https://github.com/openwall/john/blob/bleeding-jumbo/doc/MASK

    • @czezz wygląda na to, że [6-9] to zakresy, a każde “?d” oznacza dowolną cyfrę

    • Wydaje mi się, że tak to będzie:
      [6-9] – zakres od 6-9
      ?d – zakres od 0-9
      [01] – cyfra 1 LUB 0
      ?d – zakres od 0-9
      [0-3] – zakres od 0-3

      ?d – zakres od 0-9
      ?d – zakres od 0-9
      ?d – zakres od 0-9
      ?d – zakres od 0-9
      ?d – zakres od 0-9
      ?d – zakres od 0-9

  14. taki sposób wystawiania danych to faktycznie coś chorego. pomimo zahasłowania, powinno to być zgłoszone do GIODO, bo zbiór danych wrażliwych został udostępniony. nieważne czy zahasłowane czy nie. on *jest* udostępniony. a potem bruteforce można to offline dekodować.

    w normalnej sytuacji ja mam tak, że robię badania, i dostaję karteczkę z kodem paskowym. potem wchodzę na stronę, muszę podać numer z karteczki plus imię i nazwisko, nic więcej, i mam wynik w pliku i to podpisany podpisem kwalifikowanym. żadnego wjazdu do otwartego katalogu itp, bo to jest chore. ktoś tu powiem wprost, na łeb upadł.
    Gdyby lab w którym robię badania wyciął taki numer, sam bym zgłosił sprawę do GIODO o niepawidłowym przetwarzaniu moich danych.

  15. Ja nawet zamka w drzwiach nie mam, bo włamania są nielegalne.

    • > Ja nawet zamka w drzwiach nie mam, bo włamania są nielegalne.

      Mozna zapytac do czego sie tutaj odnosisz? Bo to jest komentarz ktorym jednoczesnie dowala sie do komentujacych (sugerujac ze ich zastrzezenia wynikaja z RODO a oni sami “czepialsko” trzymaja sie przepisow) i do firmy (sugerujac, ze uznali sam fakt pobieranie nie swoich plikow bedacy nielegalnym za zabezpieczenie)…

      To jakis nowy rodzaj trollingu?

  16. Ta maska sprawdza tylko 40 lat, ale takich po 20 miesięcy 40-dniowych, więc po drobnej optymalizacji oszustwa żadnego nie będzie.

    Dodatkowo sprawdzana jest każda, nie tylko poprawna cyfra kontrolna – a że jej wyznaczenie – szczególnie przy generowaniu sekwencji numerów PESEL – jest sporo łatwiejsze niż wyliczenie hasha, to w praktyce złożoność ataku można podzielić przez 10.

    Dodajmy do tego, że rozkład cyfr na pozycji 9 jest bardzo nierównomierny, praktycznie skracając średni czas złamania kilkakrotnie.

    Dodajmy do tego, że ten czas na jednorazowe wyliczenie hashy dla wszystkich możliwych numerów PESEL ludzi obecnie żyjących łamie hasła nie do jednego, a do wszystkich tych plików jednocześnie.

  17. Rozumiem że przesyłanie danych mailem z załącznikiem (zip szyfrowany Peselem) jest ok?
    Przeciez tak robi wiekszosc bankow i funduszy.

  18. Ja się zastanawiam, czy udostępnienie plików zaszyfrowanych peselami, nie można by zinterpretować jako udostępnienie tych peseli nieupoważnionym osobom, bo są one w pewnym sensie zapisane w tym pliku i można je łatwo wydobyć. Więc wydaje mi się że szyfrowanie nawet mało istotnych danych peselem to zły pomysł.

  19. […] niedostępnej nawet na torrentach, pandemicznej wersji. Czerwonej jak oczy bezpiecznika na widok tego, co wyprawia się w niektórych firmach. W tę aukcje warto kliknąć dla samego przeczytania opisu torby — […]

  20. […] o tym, że można było pobrać nagrania rozmów pacjentów z lekarzami, ujawniliśmy też, jak dostać się do wyników badań na COVID-19 a także informowaliśmy o wycieku danych pacjentów z serwisu upacjenta.pl i danych ubezpieczonych […]

  21. ostatnio dostałem maila z banku (Nest Bank-u), że cala korespondencję do mnie ze względu na RODO będą szyfrować… hasłem do plików z korespondencją w archiwum będzie… REGON…. który można znaleźć wszędzie… xD Moglibyście im wytłumaczyć, że to głupi pomysł…

Odpowiadasz na komentarz Pawel

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: