13:03
29/1/2021

Różne wycieki informacji widzieliśmy w swoim życiu. Czasem się ktoś włamał i wykradł, czasem pracownik wysłał coś nie tam, gdzie powinien, a czasem ktoś zostawił laptopa w samochdzie i mu go ukradli. Były bezkarne głębokie ukrycia i pomyłki techniczne, za które pracownika zatrzymywała prokuratura. Ale przypadek, który dziś opiszemy jest wybitny…

Jeden z pracowników firmy posiedzenia.pl, której klientami są setki gmin, urzędów i instytucji takich jak straż miejska, przez dwie godziny streamował na YouTube wszystko to, co robił na swoim służbowym komputerze. Można było nie tylko zobaczyć dane osobowe klientów i hasła dostępowe, ale także usłyszeć prowadzone z klientami i współpracownikami rozmowy telefoniczne (narzędzie do streamowania ekranu nagrywało to, co słyszał wbudowany w laptopa mikrofon).

OMG, jak on zasuwa!

Na film jednego z pracowników firmy posiedzenia.pl, nazwijmy go Błażejem, natknął się nasz czytelnik. Kiedy po kilku dniach odczytaliśmy jego e-maila, byliśmy — jeśli wierzyć YouTube — 58 widzem, który miał możliwość zapoznać się z tym jak wygląda praca w spółce GK Pro, bo to ona tak naprawdę stoi za posiedzenia.pl.

Zanim przejdziemy do pokazania, jak wiele informacji o klientach i firmie można ujawnić w ciągu 2 godzin pracy kiedy ktoś “patrzy Wam przez ramię”, to zacznijmy od pochwały dla Pana Błażeja.

Pracował on sprawnie, szybko i wydajnie. Tu telefon, chwilę później pytanie do kolegi na Gadu-Gadu, w oczekiwaniu na odpowiedź — rozliczenie Excela i uzupełnienie danych w CRM, potem sprawdzenie maila, rekonfiguracja ustawień klienta w systemie i odpowiedź na kolejnego maila, bazując na zwrotce od kolegi na Gadu-Gadu. Multitasking level master! Naliczyliśmy tylko dwa przekleństwa, chociaż za ścianą Błażejowi non stop ktoś wiercił i to w takich najbardziej denerwujący brum, brum brrrrrrum, br, br, br, bruum sposób. Szacunek! W dodatku od komputera Błażej odszedł tylko na kilka minut, pamiętając, aby wcześniej lojalnie oznaczyć w systemie, że idzie na przerwę (aplikacja zlicza czas “nie-pracy”).

Panie prezesie Grzegorzu, Błażej powinien zostać pracownikiem miesiąca! I piszemy to szczerze. Gdyby tylko nie ten nieszczęsny dwugodzinny stream firmowych danych do internetu… Stream, co sugerowało nagranie, był wynikiem testów narzędzia do streamingu, o którego pracy Błażej najwyraźniej zapomniał a także poważniejszego błędu — nieustawienia typu transmisji na YouTube na prywatną/unlisted.

Chroń swój ekran!

Zaraz zrobimy szybki przegląd tego, co można było wychwycić na nagraniu Pana Błażeja. Z oczywistych powodów stop-klatki są ocenzurowane, bo naszym celem jest uczulenie KAŻDEJ firmy, nie tylko GK Pro, na to jak wiele informacji można mimowolnie ujawniać, kiedy ktoś przez chwilę patrzy pracownikowi “przez ramię”.

Zanim jednak do tego przejdziemy, krótki apel: mamy nadzieję, że każda firma, która sadza pracowników przy oknach wychodzących na publiczny chodnik (lub na wysepkach w galeriach handlowych) weźmie sobie ten artykuł do serca. Podobnie jak każdy pracownik, który pracuje poza biurem — w kawiarni, hotelu lub podczas podróży pociągiem czy samolotem. Wszystkim Wam można patrzeć przez ramię, tak jak Panu Błażejowi na ekran patrzył program do streamowania. Oto mały przykład z naszego “przedpandemicznego” życia, utrwalony przez jednego z naszych Niebezpiecznych Trenerów i wykorzystywany w ramach szkoleń pracowników na naszym kursie Cyberbezpieczeństwo dla Firm.

Co robić, aby pracując zdalnie, np. z domu, pracować bezpiecznie? Jak ograniczać ryzyko takich wpadek? Tego dowiecie się z naszego dwugodzinnego video-szkolenia pt. Bezpieczeństwo Pracy Zdalnej. Pokazujemy na nim krok po kroku jak zabezpieczyć swoje stanowisko pracy, od samego komputera przez siec Wi-Fi aż do przydatnych aplikacji. A wszystko to podajemy w przystępny dla każdego, nawet osób nietechnicznych, sposób. Z kodem YOUTUBE do końca dnia można to szkolenie zobaczyć za 59 PLN — to dobra inwestycja w swoją prywatność i bezpieczeństwo, bo jakiegokolwiek wyciek danych albo atak będący skutkiem Waszego błędu to kilkuset krotnie większy koszt (czasem stracić można nie tylko dane, a oszczędności całego życia). Więc nie czekaj — klikaj tutaj i oglądaj — promocja kończy się dziś o północy! A jak mówią osoby, które ten materiał widziały, powinien on być obowiązkowy dla każdej osoby pracującej przed komputerem.

Co każdy mógł zobaczyć?

Pan Błażej czytał i wysyłał e-maile, ujawniając zawartość skrzynki pocztowej co do samych danych kontrahentów jak i…

…treści e-maili — klasyka gatunku:

Żeby było śmieszniej, nawet jak Pan Błażej w e-mailu nie siedział, to treść wiadomości e-mail była ujawniana, bo pokazywał ją Thunderbird:

Poza e-mailem, Pan Błażej komunikował się przez Gadu-Gadu, gdzie m.in. przekazywane były loginy i hasła:

Pan Błażej spędzał też sporo czasu w firmowym CRM-ie, a ujawnienie informacji w nim zawartych jest dość przydatne dla konkurencji, która może podejrzeć nie tylko dane klientów ale sam sposób pracy.

Pan Błażej uzupełniał dane klientów, więc można było poznać ich:

    imiona nazwiska,
    adresy e-mail,
    numery telefonów
    i inne informacje z nimi związane:

Pan Błażej miał dostęp do systemów streamingowych, więc można było zobaczyć fragmenty nagrań z posiedzeń niektórych klientów:

Pan Błażej przeglądał umowy i faktury klientów, więc inni klienci na tej podstawie mogliby zacząć kwestionować wysokość swoich stawek lub rabatów:

Pan Błażej rozliczał podwykonawców, więc inni podwykonawcy mogliby zacząć kwestionować wysokość swoich stawek (a klienci poznać marżę):

Pan Błażej łączył się przez Team Viewer, wiec ujawnił dane dostępowe do zewnętrznych systemów, w tym systemów klientów:

…i przy okazji zaobserwować można typ licencji, z jakiego firma korzysta:

Ujawnień haseł było zresztą więcej:

Pan Błażej pomagał w problemach klientów, więc można było zaobserwować streaming z kamery “na zderzaku” jednego z samochodów należących do klienta, który był monitorowany.

Pan Błażej jednocześnie obsługiwał także inne marki spółki, więc zapoznać można było się także z klientami tych marek, np. 24m.pl / PROTEL:

I na koniec perełka — komunikat Avastu, który ostrzegał Pana Błażeja, że ktoś go śledzi :D

Podsumowując — przez dwie godziny można wyciec MASĘ informacji na temat swoich kontrahentów i warunków współpracy z nimi. Widać dane osobowe, hasła, specyfikę pracy. Niewątpliwie jest to prezent dla firm konkurencyjnych, ale i dla wszelkiej maści “złych ludzi”, którzy prezentowane dane mogliby wykorzystać do szantażu lub po prostu włamania (poprzez ujawnione dane) na systemy będące pod kontrolą Pana Błażeja w celu wyciągnięcia z nich większej ilości danych i osiągnięcia korzyści finansowych.

Problem jest tym większy, że jak pisze nam Czytelnik:

“[Błażej] od ponad roku transmituje wszystko co się dzieje u niego w firmie przez Internet na serwisie Youtube. Na filmach do tej pory pojawiał się głównie obraz z kamer w firmie z dźwiękiem, na którym słychać rozmowy pracowników w firmie, ale także z dzwoniącymi klientami (…) wspomnianego systemu Posiedzenia.pl, z którego korzystają liczne samorządy w Polsce, ale także np. Straż Miejska w Poznaniu (…) wśród klientów można znaleźć Wojskowe Zakłady Łączności, a nawet jakiś Bank Spółdzielczy

Potwierdziliśmy, że na kanale poza wspomnianym wyżej filmem znajdowały się także streamy “testowe” ze współpracownikami i klientami, trwające po kilkadziesiąt minut. Wybiórcza analiza pokazała, że nie zawsze dźwięk był wyłączony. Na pewno nie jest to “wszystko co się dzieje w firmie” — to po prostu (naszym zdaniem) testy oprogramowania do streamingu, o którego wyłączeniu ktoś zapomina. Tu warto podpowiedzieć, że transmisję na YouTube można ustawić jako “prywatną” lub “unlisted” i wtedy ryzyko, że ktoś nasze testy zobaczy jest niewielkie. Streamowanie testów publicznie, nawet jeśli naszego kanału nikt nie “śledzi” nie jest dobrym pomysłem. Nigdy.

Co na to firma?

Firmę oczywiście powiadomiliśmy, i to już po pierwszej minucie oglądania tego nagrania. Zniknęło z internetu po kilku godzinach. Zadaliśmy przy okazji kilka pytań, ale na te, Pan Błażej odpowiedział już w sposób zdecydowanie mniej wylewny niż rozmawiał z klientami:

Nasze pytania:
a. Jak to możliwe, że doszło do publikacji tego filmu i czy powinien on wciąż być dostępny online?
b. Czy osoby, których dane (numery telefonów, adresy, a w niektórych przypadkach hasła) są widoczne na nagraniu są świadome upublicznienia ich danych?
c. Jeśli nie, czy zostaną one przez Państwa powiadomione?
d. Czy firma korzysta z oprogramowania TeamViewer i posiada na niego licencję komercyjną?

Odpowiedź Pana Błażeja:
Film został opublikowany omyłkowo i jest usunięty. Dokładamy wszelkich starań do ochrony danych osobowych i zajmiemy się tą sprawą profesjonalnie.

Trzymamy więc za słowo — że do ochrony danych osobowych i sprawy firmy Posiedzenia.pl, PROTEL 24m.pl i GK Pro podeszły profesjonalnie i nie tylko powiadomiły klientów, ale też poresetowały hasła do wielu systemów, które przewinęły się przez nagranie.

Jeśli jesteście ich klientami, dajcie nam znać, czy otrzymaliście informację, że treść korespondencji z Wami lub Wasze dane osobowe były przez pomyłkę Pana “Błażeja” przez 2 tygodnie oglądane przez różne osoby na YouTube…

Nawet jeśli nigdy nie zamierzacie niczego streamować do internetu i myślicie że taki wypadek przy pracy jak u Pana Błażeja Wam się nie przytrafi, to prosimy — zróbcie sobie rachunek sumienia i odpowiedzcie na dwa pytania:

    1. Kto widzi mój ekran, kiedy pracuję na komputerze?
    2. Kto słyszy, jak rozmawiam przez służbowy telefon?

Dodatkowe pół punktu przyznajemy wszystkim firmom, które na swoich systemach DLP mają wdrożone sygnatury na wykrywanie streamów wychodzących do internetu z komputerów pracowników (plus ekstra 100 punktów, jeśli ktoś patrzy w logi i na te alerty reaguje).

PS. Na koniec jeszcze raz przypomnimy, że tylko dziś w cenie aż o 70 PLN niższej można zobaczyć nasz kompleksowy video poradnik pt. Jak bezpiecznie pracować poza biura (zdalnie)?, o ile użyje się kodu YOUTUBE w formularzu lub kliknie bezpośrednio na ten link.

Przeczytaj także:

34 komentarzy

Dodaj komentarz
  1. to niezły Błażej z tego Błażeja ;) podejrzewam że zainstalował sobie aplikacje do streamowania ale nie zauważył że ją włączył po instalacji ;)

    • Żeby stream popłynął w eter potrzeba konta YouTube, wygenerowania klucza streamu, dodania go do programu streamującego (wraz z pozostałą konfiguracją).

    • Błąd polegał na tym, że na głównym komputerze Błażeja został zainstalowany program z poza dopuszczalnej listy. Takie programy powinny siedzieć w wirtualkach, aby można to było łatwo odizolować. I to nie mogą być wirtualki ‘multiuse/reuse’, ale nowe za każdym razem.

      jedyne co mogę powiedzieć, że Błażej pracuje niesamowicie sprawnie, ale firma zapędziła go w rutynę i o jednym z zadań po prostu zapomniał.

  2. No to tylko brakowało podpięcie jakieś bramki donejtów gdzie za np. 100zł robi się DROP bazy klientów xD

  3. Powinni im zaktualizować Thunderbirda.

  4. To trzeba być zdolnym…
    A windows jest oryginalny????

    • Windows jest orginalny. Wygasła tylko licencja 30 dniowa bo nie aktywował systemu. Nie jest zabronione prawem korzystanie z oprogramowania, na którym wygasła licencja. Zabronione jest tylko piracenie, łamanie zabezpieczeń systemu itd.

      Gość równie dobrze mógł kupić legalny system, tylko go nie aktywował po 30 dniach :)

    • @studencik: Co za herezje Pan siejesz. Ok, może i to nie jest przestępstwo, ale to nie znaczy że to jest legalne – łamiesz prawa autorskie i możesz za to zapłacić odszkodowanie autorowi.
      Jakby to było legalne, to kto normalny by kupował oprogramowanie za grubą kasę.

    • aa 2021.02.01 12:54
      Jakiś to przepis prawa autorski łamie?
      Gdzie masz napisane w ustawie, że oprogramowanie po zakupie masz aktywować bo inaczej łamiesz prawo?
      Bzdury to ty opowiadasz. Jeżeli gość ma zakupioną licencję na ten system to korzystanie z niego jest całkowicie legalne.

  5. fajna firma – firmowy windows bez licencji , teamviver na licencji free :)

    • NIe posiadanie licencji na windows nie jest przestępstwem. Przypominam, że MS również okrada klientów z ich prywatności informując o tym w regulaminie ( telemetria i cała reszta).

      Więc czy jest sens płacić za oprogramowanie, które szpieguje? Raczej bym się mocno zastanowił.

  6. omyłkowe opublikowanie nagrania, a na kanale dostępne kilkadziesiąt innych…

  7. Dramat to jest mało powiedziane! Ciekawe czy sami się zgłosili do UODO, czy UODO zgłosi się do nich po tym artykule… Czekamy z niecierpliwością na sequel ;)

    • ale proszę nie przywoływać polityki tutaj, ponoć to poważny serwis a uodo to tylko maszynka do zieleniny, moje dane wyciekły wiele razy przez lata i jakoś nie poczuwam się do tego aby to uodo miało mi w czymś pomóc

  8. Czyż źródłem problemu nie jest tak chwalony na początku multitasking?

  9. nie zdziwiłbym się jakby to był jakiś nieudolny sposób na śledzenie przez pracodawcę tego, co pracownik robi w trakcie pracy

  10. Czepiacie się. Wychodzi na to, że Pan Błażej jest turbo ogarniaczem.

  11. 1) W czasach pracy on-line często udostępnia się ekran i bardzo łatwo pokazać więcej, niż by się chciało. Prowadzę szkolenia z programowania i jakieś mini wpadki się zdarzyły. Współczuję nauczycielom.
    2) Już parę lat temu spacerując w Krakowie przez szybę kawiarni zobaczyłem ekran laptopa, na którym ktoś (dwie osoby, wyglądało jak spotkanie biznesowe) przeglądał jakieś mapy / projekty, bardzo szczegółowe – jakby inwestor, deweloper itp. coś miał sprzedać / kupić / projektować. Pomyślałem – i niech to sobie przez to okno zobaczy konkurencja.
    3) Innym razem koleś w zatłoczonym pociągu przez telefon na cały wagon ustalał z kolegą(?) jak wrobią koleżankę (z nazwiskiem!) z pracy tak, żeby ją zwolnić albo “damy jej taką propozycję, że sama się zwolni”.

    • Mi się zdażyło słyszeć osobę podającą dane karty (numer/datę/cvv) i login/hasło do jakiegoś wewnętrznego, firmowego serwisu.

  12. Niech dadzą znać czy kupili w końcu oryginalnego Windowsa i zapłacili za TeamViewera w wersji do użytku komercyjnego :|

  13. Kiedys w sklepie ekspedientka poprosiła klientkę płacącą kartą ‘Prosze podac PIN’, ta na cały głos ‘5491’

  14. Lepiej być 100 razy na “mute” i myśleć, że się nie jest, niż raz nie być a myśleć, że się jest :-) https://www.facebook.com/1000dowcipow/photos/a.2900573956843319/2913803638853684

  15. Jestem programistą. Kiedyś przeprowadzałem zdalne szkolenie dla działu obsługi klienta i w konferencji brali udział również koledzy z zespołu. Szkolenie wyglądało tak, że na zmianę z członkiem działu operacyjnego udostępnialiśmy ekran i ja pokazywałem co robić i instruołowałem BOK co ma robić. Koledzy w tym czasie komentowali na komunikatorze jakie wolne komputery ma Wsparcie, że nic nie ogarniają itp. Niestety miałem włączone powiadomienia z boku ekranu i wszystko było widać. Dodatkowo szkolenie było nagrywane

  16. Ja już “parę” razy widziałem w pociągu pracowników, którzy ogarniali swoją pracę. Pytanie czy faktycznie musieli, czy chcieli pokazać, że są ważni, bo praca, bo laptop w podróży etc jak w filmach… A tam na widoku wszystko… Czy to siedząc obok czy widząc poprzez odbicie w oknie. Tylko część miała nakładkę na ekran. Ale i tak moim ulubionym przykładem zerowego dbania o zachowanie tajemnicy była rozmowa dwóch osób z (chyba) pewnego sportowego związku (chyba najbardziej popularnego sportu w Polsce). Rozmawiali jakby nikogo nie było obok. Nazwiska może nie padały, ale dało się z kontekstu część osób dopasować. PS że choć jedna osoba była ze związku było widać także poprzez znaczek przypięty do klapy. No, ale to starsze osoby były, więc może nie miały pojęcia.

  17. Ach ten czepialski Niebezpiecznik. Wystarczyło wejść na stronę i przeczytać ich ofertę:
    – Gratis przechowywanie i udostępnianie nieograniczonej liczby materiałów i dokumentów
    – Brak limitów oglądających
    – Pełna archiwizacja nagrań

    Nie ma pełniejszej archiwizacji nagrań, niż wrzucanie ich do Internetu!

  18. Nie ma to jak ogar na windzie :p :)

  19. Tego jeszcze nie grali ale chyba wyhaczyli Spamcop

    https://www.spamcop.net/

    masakra

  20. […] na torrentach, pandemicznej wersji. Czerwonej jak oczy bezpiecznika na widok tego, co wyprawia się w niektórych firmach. W tę aukcje warto kliknąć dla samego przeczytania opisu torby — gwarantujemy, że nie […]

  21. U mnie, w przypadku jak ktoś do mnie dzwoni służbowo, to najczęściej podsłuchują telefony inni pracownicy albo dyrekcja.

  22. Podajecie ciekawe przykłady więc i jak napiszę swój.
    Czekam w kolejce na Poczcie odebrać przesyłkę. W kolejce jakieś 10-15 osób. Do okienka podchodzi młody człowiek z pytaniem czy może przesłać pieniądze na konkretny adres pocztowy. Za chwilę padają dane wysyłającego oraz odbiorcy plus nazwy firm i KWOTA jaka zostanie wysłana. Pani na poczcie potwierdziła, którego dnia listonosz doręczy kwotę.
    Słysząc do jakiś “Pan Napadacz” pewnie zacierał by ręce.
    Czy dużym problemem byłoby podsuniecie odpowiedniego druczku do wypełnienia temu człowiekowi ??

  23. No i ten słabo widoczny napis Aktywuj system Windows to już jest wstyd dla tej firmy XD.

  24. …ja się pytam, po co w takiej pracy soft do streamingu na yt?!
    Czy to nie umyślne dropowanie danych osobowych i innych?!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: