10:28
17/4/2020

Jak informuje TVP3 Kielce, każdy z kieleckich samorządowców otrzymał specjalny tablet, który pozwala na uczestnictwo w głosowaniach i zabieranie głosu podczas pierwszych zdalnych obrad. Radni mieli zostać przeszkoleni, ale zanim doszło do szkolenia, doszło do incydentów związanych z przekazanymi im tabletami…

Widzieli nawzajem swoje hasła

Podczas próbnego głosowania każdy z radnych mógł zapoznać się z hasłem i loginem innych uprawnionych do głosowania. Radny Marcin Stępniewski zauważył, że problem ujawnienia danych dotyczy też “e-maili urzędowych, na które mają logować się samorządowcy“.

Pomyślicie pewnie — ale jak to możliwe? Platforma do głosowania miała błąd w formularzu logowania? To możliwe… Ale nie wyjaśnia “widoczności” haseł do innych kont, np. do e-maili. Materiał TVP3 Kielce tego nie precyzuje, ale nasz informator rzuca więcej światła na “tło” incydentu:

[Oni] uruchomili wszystkie tablety na 1 koncie Google (z resztą niezgodnie z regulaminem Google). Google zapamiętało hasła i wyświetliło (podpowiadało — dop. red.) wszystkim hasła wszystkich radnych. Czy były również hasła do innych kont niezwiązanych z esesją (!!!)? np. do kont email, bankowych, portali aukcyjnych itp. itd.? Co jeśli radni pozmieniali sobie standardowe hasło na swoje a inni to zobaczyli? Ewidentnie brak procedur / nadzoru nad wdrożeniem. Dalej: CO Z INNYMI SAMORZĄDAMI używającymi “esesja.pl”?

A więc radni, niczym setki biednych studentów, którzy co roku są hackowani, skorzystali z …grupowego maila. A raczej nie radni, a firma Infover, która dostarczyła im tablety do głosowania skonfigurowane do pracy oprogramowaniem esesja.pl, autorstwa innej firmy MWC Sp. z o.o. Ze względu na konfigurację w oparciu o jedno i to samo konto Google, wszystkie tablety zapamiętywały wszystkie wprowadzane na nich hasła (także te do innych kont niż system do głosowania), w googlowym, chmurowym managerze haseł. A potem te hasła podpowiadały na każdym urządzeniu. Podstawowy błąd…

Co gorsza — o czym pewnie wciąż część radnych nie wie — każdy z nich mógł wyeksportować hasła wszystkich pozostałych — nawet te prywatne (!!!) — o ile jakiś z samorządowców skorzystał z “służbowego” tabletu do prywatnych celów.

Praca zdalna to nie jest prosta sprawa. Można popełnić wiele błędów i spowodować wyciek danych straszniejszy od tego, który przytrafił się radnym w Kielcach. Dowiedz się jak nie narażać swojej prywatności i danych klientów pracując spoza biura, na prywatnym lub służbowym sprzęcie. Porady i przydatne narzędzia poznasz podczas naszego 2 godzinnego webinaru poświęconemu bezpieczeństwu pracy zdalnej. Kliknij tu aby zobaczyć nagranie!

W kontekście powyższego, trochę kuriozalnie brzmi wypowiedź rzecznika prezydenta Kielc, Tomasza Porębskiego, który całą sprawę dla TVP3 Kielce skomentował tak:

To konto testowe jest założone na sam początek. Natomiast wszystkie kolejne ruchy będą wykonywane po zakończeniu dzisiejszego szkolenia tak, żeby wszelkie dane, wszelkie hasła były tylko i wyłącznie indywidualne.

Za późno! Takie tłumaczenie miałoby sens, gdyby każdy z radnych został ostrzeżony, że jego hasła będą mogli poznać pozostali radni.

To może być zdecydowanie poważniejszy problem…

Stawiamy scyzoryki przeciw siekierom, że część z radnych wprowadziła na tabletach hasła, których używają w innych miejscach. Gdyby któryś z radnych miał eksport tego zbioru (można go zrobić klikając tutaj), to z chęcią tę naszą hipotezę zweryfikujemy :) Adres formularza do kontaktu jest tutaj, a my gwarantujemy anonimowość.

Wiedza o tym, jakie hasło ma przeciwnik polityczny, może być niesamowicie cenna. I nie chodzi tylko o oddanie głosu za kogoś z jego konta. Jeśli radny używał tego samego hasła w innym miejscu, możliwe staje się wejście na jego skrzynkę e-mailową i szantażyk…

Warto też zwrócić uwagę, że jeśli to nie samorządowcy konfigurują sobie tablety, to firma, która im je przygotowuje (jej pracownicy) znają hasła i mogą “podglądać” cyfrowy ślad radnych. Warto uwzględnić to w swoim modelu ryzyka…

W modelu ryzyka warto też uwzględnić wiele innych kwestii. Wszystkie z nich omawiamy w naszym 3h internetowym kursie “Cyberbezpieczeństwo w Firmie“. Kurs edukuje pracowników, ale zawiera także porady dla działów IT. Bo wielu pomyłkom pracowników i wygenerowanym przez nich incydentom można zapobiec, o ile wdroży się odpowiednie procedury i narzędzia… Materiał kursu dostosowaliśmy do najczęściej występujących w Polsce ataków na firmy i incydentów, które obserwujemy u naszych klientów od ponad 10 lat. To wiedza, którą powinien mieć każdy pracownik i jedyny tak przekrojowy i poparty prawdziwymi przykładami kurs z cyberbezpieczeństwa w Polsce. Zobacz za darmo jedną z lekcji, a potem zapoznaj się z pełną agendą naszego kursu “Cyberbezpieczeństwo w Firmie” i przeszkol wszystkich pracowników z bezpiecznej pracy na komputerze podłączonym do internetu.

PS. Brawa należą się przewodniczącemu Rady Miasta, Kamilowi Suchańskiemu, który w związku z wdrożeniem tabletów, asekuracyjnie przełożył obrady o tydzień, z 16 na na 23 kwietnia — tu cytat — “wziąłem pod uwagę to, że mogą zaistnieć pewne rzeczy, których nie przewidzimy, które będą wynikać z jakichś zaniedbań”.

PS2. Oczywiście, tego posta nie mogliśmy zakończyć inaczej niż tak:


Aktualizacja 17.04.2020, 11:38
Otrzymaliśmy dodatkowe wyjaśnienia od Tomasza Porębskiego, rzecznika prezydenta Kielc:

Niestety, zacytowana moja wypowiedź została wyrwana z szerszego kontekstu – jak to często bywa w telewizyjnych materiałach (oczywiście niekiedy z uwagi na ich specyfikę i ograniczony czas antenowy) – dlatego nie oddaje pełnego przekazu. Pamiętajmy również, że wypowiedź była nagrywana przed rozpoczęciem szkolenia w dniu wczorajszym oraz odpowiedzią dostawcy sprzętu i oprogramowania na pismo UM Kielce z prośbą o wyjaśnienie zaistniałej sytuacji.

Pan Tomasz podzielił się także z nami pismem od firmy Infover, która dostarczyła radnym “testowo skonfigurowane” tablety

W związku z tym pismem, doprecyzowaliśmy w artykule, że za konfiguracje sprzętu przekazanego radnym odpowiadała firma Infover.

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. Bardzo mądre posunięcie. Zamiast ostrzegać dziecko o możliwości oparzenia pozwolili by dziecko oparzyło się (w sposób kontrolowany?) i lepiej zapamiętało lekcję.
    Oby tak było.

  2. Żeby dziecko się nauczyło, oparzenie musi boleć i dziecko musi rozumieć jak powstało. Tutaj pierwsze jest jak rzut kostką, na drugie w ogóle bym nie liczył. W tym temacie od lat jest stabilnie i wyciągania nauki brak.

    Od kiedy pamiętam zlecenia państwowe i z grantów, to w przypadku projektów informatycznych SIWZ umożliwia oddanie czegokolwiek, a odbiór ogranicza się do sprawdzenia ortografii w okienkach i czy ładne obrazki są. Za projekt odpowiada nie oddzielna firma, tylko przypadkowy urzędnik bez potrzebnej wiedzy. W przeciwieństwie do jakichkolwiek innych zleceń: specyfikacji brak, testów brak, oceny brak, wymagań brak, a jeśli problemy wywołują burzę w mediach, to wciskany jest kit w postaci zwalenia winy na „konieczność wybrania najtańszej oferty w przetargu” (fakt, bycie oszukanym za 3× większe pieniądze smakuje lepiej ;)).

    Wisienką na torcie jest to, że zleceniobiorca traktowany jest bezwarunkowo jako niewinny. Jeśli ktokolwiek w drogownictwie zrobiłby chociażby plan na poziomie takim, jak projekty informatyczne, to firma taka zostałaby rozsmarowana po asfalcie i mogłaby zwinąć działalność. Ale w informatyce jest inaczej: wystarczy powiedzieć „to pomyłka, poprawimy” i jest wszystko OK — nawet jeśli dla każdego z minimum doświadczenia oczywistym jest, że to nie bug, tylko wynik braku wiedzy i ordynarna niechlujność. Jeśli użytkownik znajdzie błąd, to tylko gorzej dla użytkownika: można mu powiedzieć, że to on jest problemem i powinien się dostosować.

    Tak więc nie licz na to, że zostanie z tego wyciągnięta nauczka. :(

  3. Infover… firma, w której pracownicy zmieniają się jak w Comarchu, a wieloletnie wdrożenia są prowadzone przez kolejne ekipy ludzi, gdyż ci lepsi szybko uciekają. Miałem z nimi do czynienia i handlowcy potrafią sprzedać wszystko, gorzej z wykonaniem.
    Wcale się więc nie dziwię, że tak się zdarzyło, bo po prostu na dole nie było komu porządnie dokończyć konfiguracji…

  4. Z drugiej strony to trochę dziwne, że radni używają tabletów które mają im służyć do głosowania do prywatnych celów. Tablet powinien mieć ograniczoną funkcjonalność do wyłącznie obsługi esesji i głosowania.

  5. A tak z czystej ciekawości zapytam. To urzędy nie mają swojego IT które odpowiada za bezpieczeństwo im powierzonego sprzętu? Z tego co wiem są tam Panowie w koszulach flanelowych. Odpowiadają tylko za podłączenie drukarki Pani Krysi? Za co biorą pieniądze?
    Nikt o to nie pyta? Przecież na boga każda firma może dostarczyć wszystko jak wygra przetarg. Nawet taka powiązana z obcym wywiadem i działająca na korzyść obcego państwa. Nie po to urząd ma dział IT żeby ich zabezpieczać???? Czy nasze urzędy są aż tak dziurawe że nikt tego nie sprawdza? Gdzie jest Pan Suchański? Kto za to odpowiada? Poszukaj chłopie odpowiedzi u swoich kierowników działu informatyki. Administracja publiczna powinna SAMA DBAĆ O SWOJE BEZPIECZEŃSTWO BO MA SWOJE IT.

    • “To urzędy nie mają swojego IT”? Ano skoro hołdowało się zasadzie “taniego państwa”, stawiało na prywatyzację i outsourcing wszystkiego czego się tylko da – to jak mają mieć?

    • Ale się prywatyzuje firm niezwiązane z państwowością, a nie urząd miasta gdziekolwiek. xD Nikt nie postulował prywatyzacji takich rzeczy, więc bez demagogii. Państwo nie potrzebuje własnego gospodarstwa rolnego, wytwórni czekolady i fabryki kredek, ale urząd miasta to już wypadałoby mieć.

    • Oczywiście, że mają. I tak jak wszędzie jak szef nie ma pojęcia o IT to jak IT ma działać dobrze.

    • Administracja nie dba o dział IT, bo komputry im działają, a windowsa to uczeń podstawówki zainstaluje. Dopóki w urzędach góra nie zrozumie, że od wykwalifikowanego i dobrze opłacanego działu IT zależy bezpieczeństwo i funkcjonowanie urzędu to będą takie kwiatki jak w artykule.

    • Zapewne jest, że tylko w dziale IT UM pracuje Pan Janek, który potrafi wymienić myszkę i zdefragmentować dysk, no dobra jeszcze potrafi zresetować komputer… A wystarczyło włączyć administracyjnie ograniczenia na tablecie, tylko pewnie SWiZ tego nie obejmował :P Ech… Jakie to polskie januszowe…

  6. To juz chyba bylo lepiej wziasc do tej roboty jakiegos lesnego dziadka spod budki z piwem…

    Natomiast co do wymowki cwaniakow z Infora/MWC, to wszystko zawsze da sie “wytlumaczyc” bledem uzytkownika, bo zazwyczaj *istnieje* sposob korzystania z produktu X bezpiecznie i bez bledow (to troche tak jak z tymi butami-bublami ktore sie rozpadaja po 2 tygodniach a producent ci odpowiada ze niewlasciwie chodzisz bo to sa buty do siedzenia, albo ze nie toleruja wody w zadnej ilosci a na dobra sprawe nie powinno sie ich wyjmowac z pudelka).

    Ewidentnie musieli sporo zaoszczedzic na tych “niepotrzebnych” kontach testowych…

  7. A to urzędy nie mają swojego IT które dba o sprzęt i zabezpiecza go przed penetracją przez obce wywiady? To przecież administracja rządowa! Przedstawiciele naszego państwa. Po co im są informatycy? Nie mają wewnętrznych procedur związanych z zabezpieczaniem sprzętu?Z tego co wiem to mają. To co oni tam robią? Za co odpowiadają?

    • oczywiście że nie, co więcej, państwowe urzędy mają strony i pocztę hostowaną w zwykłych firmach hostingowych. Policja, urzędy skarbowe, urzędy miast, można wymieniać

  8. ,,Wiedza o tym, jakie hasło ma przeciwnik polityczny, może być niesamowicie cenna” — ale jak to, przecież wejście na cudzego maila to przestępstwo.

    • jak wejdziesz poprzez 10 proxy to mogą ci szkoczyć z tym przestępstwem

    • Politycy nie dokonują przestępstw, oni uprawiają politykę ;)

    • >> ,,Wiedza o tym, jakie hasło ma przeciwnik polityczny, może być niesamowicie cenna”

      > ale jak to, przecież wejście na cudzego maila to przestępstwo.

      Przyslowiowe “No i?”. Chodzi ci o to ze polityka/wladza/pieniadze to dziedziny ktore przyciagaja tylko ludzi nieskazitelnych moralnie? xD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: