16:01
4/8/2020

Miesiąc bez wycieku z Politechniki Warszawskiej to miesiąc stracony. Wbrew zapewnieniom władz uczelni, że teraz już dane studentów są bezpieczne, kolejna baza zawierająca dane studentów pojawia się w sieci…

Nie denerwujcie hackerów!

To chyba najlepsza rada, jaką można przekazać Politechnice Warszawskiej, która w ostatnich miesiącach zaliczyła serię wycieków danych, co samo w sobie jest przykre, ale reakcje władz PW na niektóre z wycieków były jeszcze bardziej przykre…

Przypomnijmy. 4 maja poinformowalismy o wycieku danych studentów i absolwentów PW z systemu OKNO, potem na jaw wyszło, że dane z serwerów PW zostały skopiowane wiele miesięcy wcześniej. Reakcja na te dwa incydenty nie zadowoliła włamywacza i w kolejnym ataku wszedł w polemikę z rzeczniczką uczelni …na zhackowanym gitcie jednego z wydziałów. Wisienką na torcie był wyciek danych z systemu zapisów na studia PW, choć nie mamy informacji, aby był powiązany z działaniami “okiennego” włamywacza.

Ponieważ nic bardziej nie drażni hackerów wskazujących błędy w bezpieczeństwie jakiejś instytucji jak umniejszanie przez tę instytucję problemu i oświadczenia sugerujące, że hackerzy kłamią, to można było się domyślać, że hacker nie spocznie w “audytowaniu” systemów Politechniki.

I nie spoczął…

Dziś od osoby używającej pseudonimy “oknoleak” otrzymaliśmy informację, że:

Instancje Moodle mialy oddzielne konta MySQL, jednak konto aplikacji OKNO Red mialo uprawnienia do czytania wszystkich baz.

Wiadomość zawierała namiar na wystawione w internecie 2 pliki — zrzuty baz danych, a w nich:

  • Dane inżynierów 1920 kont
  • Dane magistrów 2515 kont

Jakie dane na temat użytkowników były w bazie? Oto opis tabeli:

`id` bigint(10) NOT NULL AUTO_INCREMENT,
`auth` varchar(20) NOT NULL DEFAULT 'manual',
`confirmed` tinyint(1) NOT NULL DEFAULT '0',
`policyagreed` tinyint(1) NOT NULL DEFAULT '0',
`deleted` tinyint(1) NOT NULL DEFAULT '0',
`suspended` tinyint(1) NOT NULL DEFAULT '0',
`mnethostid` bigint(10) NOT NULL DEFAULT '0',
`username` varchar(100) NOT NULL DEFAULT '',
`password` varchar(255) NOT NULL DEFAULT '',
`idnumber` varchar(255) NOT NULL DEFAULT '',
`firstname` varchar(100) NOT NULL DEFAULT '',
`lastname` varchar(100) NOT NULL DEFAULT '',
`email` varchar(100) NOT NULL DEFAULT '',
`emailstop` tinyint(1) NOT NULL DEFAULT '0',
`icq` varchar(15) NOT NULL DEFAULT '',
`skype` varchar(50) NOT NULL DEFAULT '',
`yahoo` varchar(50) NOT NULL DEFAULT '',
`aim` varchar(50) NOT NULL DEFAULT '',
`msn` varchar(50) NOT NULL DEFAULT '',
`phone1` varchar(20) NOT NULL DEFAULT '',
`phone2` varchar(20) NOT NULL DEFAULT '',
`institution` varchar(255) NOT NULL DEFAULT '',
`department` varchar(255) NOT NULL DEFAULT '',
`address` varchar(255) NOT NULL DEFAULT '',
`city` varchar(120) NOT NULL DEFAULT '',
`country` varchar(2) NOT NULL DEFAULT '',
`lang` varchar(30) NOT NULL DEFAULT 'en',
`calendartype` varchar(30) NOT NULL DEFAULT 'gregorian',
`theme` varchar(50) NOT NULL DEFAULT '',
`timezone` varchar(100) NOT NULL DEFAULT '99',
`firstaccess` bigint(10) NOT NULL DEFAULT '0',
`lastaccess` bigint(10) NOT NULL DEFAULT '0',
`lastlogin` bigint(10) NOT NULL DEFAULT '0',
`currentlogin` bigint(10) NOT NULL DEFAULT '0',
`lastip` varchar(45) NOT NULL DEFAULT '',
`secret` varchar(15) NOT NULL DEFAULT '',
`picture` bigint(10) NOT NULL DEFAULT '0',
`url` varchar(255) NOT NULL DEFAULT '',
`description` longtext,
`descriptionformat` tinyint(2) NOT NULL DEFAULT '1',
`mailformat` tinyint(1) NOT NULL DEFAULT '1',
`maildigest` tinyint(1) NOT NULL DEFAULT '0',
`maildisplay` tinyint(2) NOT NULL DEFAULT '2',
`autosubscribe` tinyint(1) NOT NULL DEFAULT '1',
`trackforums` tinyint(1) NOT NULL DEFAULT '0',
`timecreated` bigint(10) NOT NULL DEFAULT '0',
`timemodified` bigint(10) NOT NULL DEFAULT '0',
`trustbitmask` bigint(10) NOT NULL DEFAULT '0',
`imagealt` varchar(255) DEFAULT NULL,
`lastnamephonetic` varchar(255) DEFAULT NULL,
`firstnamephonetic` varchar(255) DEFAULT NULL,
`middlename` varchar(255) DEFAULT NULL,
`alternatename` varchar(255) DEFAULT NULL,
`email_prv` varchar(100) DEFAULT NULL,
`usos_id` varchar(45) DEFAULT NULL,
`usos_email` varchar(255) DEFAULT NULL,

Pomimo tak pokaźnego zbioru danych, jakie mogą być przez Moodle zbierane, w bazie na szczęście informacji jest mniej: Loginy, nazwiska, adresy e-mail, adresy IP, hasze haseł.
Poza tym, oczywiście wszystko to, co można znaleźć na platformie elearningowej, czyli dużo plików, materiałów i wiadomości wymienianych między studentami i nauczycielami.

Jeśli wierzyć nagłówkom i rekordom, bazy zgrano na początku maja… Łącznie zamują ok. 1GB danych i — wedle FAQ na stronach Politechniki Warszawskiej — nie wyciekły:

1. Czy ujawnione dane osobowe pochodzą z Platformy administracyjnej RED – czyli przeznaczonej dla studentów i pracowników OKNO, czy Moodla w domenie OKNO?
Dane pochodzą tylko z platformy RED.

Z drugiej strony, patrząc na odpowiedź PW, faktycznie — w momencie pisania FAQ, dane choć zostały wykradzione (pytanie czy PW była tego świadoma i doszła do tego po logach), to nie były ujawnione. Studentom pozostaje mieć nadzieję, że bazy z Moodle, podobnie jak i bazy z systemu OKNO nie zostaną przez włamywacza ujawnione publicznie.

PS. Dane wyciekają. Nie tylko z systemów uczelnianych. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem BIEDNISTUDENCIPWZNOWZHACKOWANI możesz obejrzeć go w cenie 49 PLN (kod ważny tylko do jutra).

Aktualiacja

Rzecznik prasowy PW Izabela Koptoń-Ryniec przesłała naszej redakcji oświadczenie.

W wyniku dalszych analiz prowadzonych w maju br., a związanych z nieuprawnionym dostępem do danych osobowych ustalono, że włamywacz mógł również uzyskać dostęp do instancji Moodle. Dane studentów i wykładowców były pobierane na platformy Moodle z platformy RED, stanowiąc ograniczony podzbiór tych danych. Niemniej na platformach Moodle mechanizm indywidualnej komunikacji między studentami i wykładowcami był wyłączony. Politechnika Warszawska w pierwszych działaniach analizowała zakres danych ulegających ujawnieniu, tak aby jak najszybciej i w maksymalnym stopniu zapewnić bezpieczeństwo danych osób pokrzywdzonych przez incydent. Platforma RED została wyłączona, a dane z platformy zostały przeniesione do innych serwisów. Niezwłocznie zostały utworzone nowe instancje Moodle w nowym środowisku.

Pragniemy przede wszystkim podkreślić, że opublikowane w Państwa serwisie zrzuty baz danych są powiązane z incydentem z dnia 4 maja br., dotyczącego baz Ośrodka Kształcenia na Odległość i nie stanowią nowego incydentu bezpieczeństwa w tym zakresie. W sprawie tej nadal prowadzone jest postępowanie prokuratorskie z równoległą analizą, której wyników ujawniać nie możemy w związku z prowadzonym śledztwem.

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. czyli nadal nie złapali sprawcy?

    • Ty tak na serio?

    • xD dziwiłbym się gdyby złapali. Zresztą chodzi o to żeby zabezpieczyli serwery a ściganie sprawcy to ewentualnie na końcu… Zresztą zawsze się znajdzie następny.

    • Można by powiedzieć, że rodo to jak prezydent dla takich “przestępców”, nie mówi nic o ich ściganiu, karaniu, ba, nawet doprowadza do tego aby to z nim się dogadać i zapłacić okup (uodo nie pomaga, tylko dobija finansowo). Kara się tego co ma dom, a nie tego co się do niego włamuje i chroni się jeszcze jego wizerunek, coś pięknego…

    • @ciastkowy

      Jakoś prywaciarzy z rynku trzeba wytrzebić, a korporacje i spółki państwowe sobie poradzą.

      PS. Ciekawe czy gdyby ustawić maksymalny transfer dany z bazy danych na 1 kb/s to czy zniechęcałoby to atakującego do ściągania całej bazy?

    • Ślectwo umorzone z powodu niewykrycia sprawcy – to będzie po kilku latach.

  2. Jestem absolwentem PW. Jak żyć?
    Dobrze że przynajmniej hasła są zabcryptowane

    • Jeśli hasło jest słownikowe (albo spośród najczęstszych haseł), to bcypt nie jest żadną przeszkodą. Ot kilka godzin zamiast kilku minut hashcat pomieli.
      Z resztą… po co łamać wszystkie? Przestępcy zadowolą się najłatwiejszymi. Zobacz na przykład Moreli – miesiąc od wycieku, rozwalili 350 tysięcy z 2 milionów hashy md5crypt. Gdyby był bcrypt, może byłoby 500x mniej, a może i nie (jeśli słownikowe/najczęstsze).
      Także… zmieniać hasła i tyle.

    • Hasła nieposolone, zostaną roz… walone :)

  3. gdybyśmy żyli w głębokim prl, to może podejście PW by mnie nie dziwiło.
    cóż, może nie żyjemy w prl, ale widocznie prl żyje w nas

    • To nie my żyjemy w PRL, tylko nieszczęsna uczelnia. W sumie to większość uczelni w Polsce… Może i masz rację żyjemy w PRL

    • Nie żyjemy w PRL ale u władzy, tak samo jak w rządzie jak i na PW, są osoby które w prlowskich realiach się wychowały i żyły długie lata. Właśnie to te osoby ciągle podświadomie wracają do tych czasów bo je najlepiej znają, co wpływa na decyzję przez nie podejmowane. Przecież “za ich czasów to było lepiej”, c’nie?

    • W PRL-u nie istniał Internet, więc jak może żyć w nas? Internet powstał w 1990 roku (gdzieś tak we wrześniu).

    • Jak nie żyjemy w PRL? Wymyślona epidemia wirusowa, propaganda medialna, traktowanie ludzi jak głupków.

    • @xolax
      Dlaczego powielasz często spotykaną opinię, że epidemia jest wymyślona? Definicją epidemi można dowolnie manipulować, ale ogólnie rzec biorąc jest to wyraźny wzrost zachorowań w stosunku do roku ubiegłego. Ale cały problem polega na nieżyciowych restrykcjach, które zabraniają pracować tym co sie nie boją. Ci co się boją mogą zostać w domu i umrzeć z głodu albo ze strachu. Kto nie ryzykuje ten nie je, a chcącemu nie dzieje się krzywda.

  4. Śmieszne jest to ze niby z Wami koresponduje, a nie mogą go złapać. Co pewnie składacie krycie sprawcy na tajemnice dziennikarska? Podajcie ip z jakiego do Was pisze my rozwiążemy temat skoro policja nie potrafi.

    • Mail nie działa w ten sposób ;)
      A nawet jakby Niebezpiecznik miał jego dane i by ujawnili, to mieliby gwarancję że już nikt nigdy do nich nie napisze.

    • >Podajcie ip z jakiego do Was pisze

      Masz IP z np. Arabii Saudyjskiej albo z Tajlandii. Proszę – działaj ;)

    • Coś mi się zdaje że Kolega Obserwator dopiero zaczyna swoją przygodę z podskórną tkanką Internetu ;) Aż zazdroszczę – tyle niespodzianek i odkryć jeszcze przed nim.

  5. Jest takie powiedzenie: “Raz zlodziej, zawsze zlodziej” i chociaz zagadnienie jest bardziej skomplikowane, to politechnika jest swietnym przykladem kiedy i dlaczego tak sie dzieje.
    Aroganckim i niekompetentnym bucom wykradziono dane raz, a poniewarz to (powod i metoda) sie nie zmienilo dane sa i beda wykradane…
    Notabene, absolwenci powinni sie zastanowic nad jakims korygujacym pozwem, jesli nie ze wzgledu na same dane – to zeby zapobiec ciaglemu pogarszaniu renomy uczelni a przez to wartosci wydanej przez nia dyplomow…

    • @WkurzonyBialyMis90210

      Tak, co innego jedna wpadka a co innego ciąg wycieków jeden po drugim :( Sprawia to wręcz żałosne wrażenie. Pewnie w tle jakiś spór kompetencyjny (nie mogą ustalić kto jest odpowiedzialny -> kto powinien naprawić), jak typowo w budżetówce – a dziura rośnie. Jeszcze pewnie przez lockdown nie może się zebrać odpowiednie “ciało decyzyjne” :D
      A rzecznikom czy innym kolesiom wypowiadającym się w imieniu instytucji przypadło klasyczne zadanie świecenia oczami, bez żadnego związku z możliwościami wpływu na sytuację ;)

  6. Zapytam bo się nie znam :( czy takie wycieki “baz” jak mysql to one nigdy nie są szyfrowane ?

    • Gdyby baza była zaszyfrowana to ciężko by się ją przeszukiwało. Chyba że myślisz o szyfrowaniu samych haseł – czasami się to stosuje, ale tylko jako dodatek do hashowania (bo jak baza może wyciec to klucz szyfrujący też)

    • W dzisiejszych czasach nie ma generalnie problemu z gotowymi pudełkami typu system operacyjny, serwer baz danych czy http. Wszystko jest zazwyczaj zgodnie ze sztuką a administrator ma łatwe zadanie przy aktualizacji. Problem dzisiaj jest zawsze z kodojebami, którzy mają w nosie bezpieczeństwo i jakość kodu, do tego obecnie większość z nich nie ma pojęcia jak ich kod zachowuje się w systemie co budzi konflikty na linii programista – administrator. Obecnie przy dużej łatwości “pisania” kodu w językach skryptowych mamy wysyp byle jakich programistów.

    • Bazy wyciekają najczęściej z prostej przyczyny – dane logowania z pełnymi dostępami gdzieś są czystym tekstem, ktoś znajdzie plik i odczyta, no i pozamiatane.
      Od dawna mówię – procedury składowane i ograniczenia na poziomie aplikacji. No i przemyślane budowanie struktury danych, coby nie robić zmian w modelu co każdy update. Wtedy nawet SQL-injection odpada, oczywiście zakładając że ktoś nie robi sobie podzapytań w procedurach evalem, bo to totalnie wypacza sens ich istnienia.

  7. Po treści oświadczenia można stwierdzić, że wycieki danych nie robią już na nich wrażenia. Znudziły się im jak COVID w tv.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: