13:19
8/2/2021

Nikt nie lubi poniedziałków, ale Sanepid ma prawo narzekać na dzisiejszy dzień. Najpierw otrzymaliśmy informację o tym, że adresy e-mail osób, które skierowały do Sanepidu w Piotrkowie Trybunalskim prośbę o dostęp do informacji publicznej zostały ujawnione przez brak użycia BCC (UDW) w odpowiedzi e-mailowej. A potem jeden z czytelników przesłał informacje o tym, że wiele (naprawdę wiele!) Powiatowych Stacji Sanitarno-Epidemiologicznych zostało “zhackowanych” i udostępnia rosyjskie treści reklamowe.

Wyciek danych obywateli

Zacznijmy od klasyki gatunku, braku użycia BCC/UDW w odpowiedzi e-mailowej:

Zanim wszyscy naskoczą na Panią Elę, chcielibyśmy zwrócić uwagę, że błędy i pomyłki się ludziom zdarzają. I zdarzać będą. Dlatego w dzisiejszych sieciach minimalizuje się zagrożenie dodatkowymi mechanizmami bezpieczeństwa niż liczenie na zdrowy rozsądek użytkowników. Jednym z nich jest odpowiednia konfiguracja serwera/klienta pocztowego, tak aby wysyłka e-maila z wieloma adresami e-mail w polu CC/DW powodowała albo anulowanie wiadomości albo wyświetlenie zapytania, czy użytkownik jest świadomy tego co robi.

Jeśli zatem za ten “wyciek danych” należy kogoś winić, to raczej osoby odpowiedzialne za IT w Sanepidzie, które takiego mechanizmu nie wdrożyły lub nieodpowiednio wyszkoliły swoich użytkowników. Te braki warto szybko nadrobić, bo zdaje się że w internecie trwa akcja obywatelskiego “nieposłuszeństwa” polegająca na zalewaniu Sanepidów wnioskami o dostęp do informacji publicznej, aby sparaliżować pracę urzędników i odciągnąć ich od nakładania mandatów karnych na przedsiębiorców, którzy wbrew rozporządzeniu otwierają swoje lokale gastronomiczne.

Poszkodowanych zapraszamy do kontynuowania tradycji, jaką zapoczątkowaliśmy parę lat temu, jeszcze w czasach “przedrodowych”: książki za ujawnione adresy e-mail (por. Nordea obiecuje kupić książki za 10 000 PLN po tym jak drugi raz ujawniła e-maile klientów).

A wszystkim piszącym zapytania do instytucji publicznych (w jakiejkolwiek sprawie) sugerujemy założenie, że Wasze dane prędzej czy później wyciekną — korzystajcie więc z aliasów lub e-maili tymczasowych, jeśli Wasza prywatność ma dla Was znaczenie.

Włamanie na strony Sanepidu

“Wyciek” e-maili wydaje się być niczym w stosunku do tego, co wciąż jeszcze można znaleźć w wynikach Google na takie zapytanie:

Jak widać, w domenach powiatowych sanepidów hostowane były treści, które raczej do oficjalnych nie należą. Jeśli spojrzeć na cache tych (już usuniętych) stron w Google, to można zauważyć, że “problem” trwał co najmniej od listopada 2020 do lutego 2021.

“Włamanie” nie jest jakoś wielce spektakularne — wszystkie wyrywkowo sprawdzone przez nas domeny, na których hostowane były “nieoficjalne” treści wskazują na jeden serwer: 212.180.149.211. Zgadujemy, że ktoś nadużył błąd w konfiguracji CMS-a lub znalazł formularz uploadu plików i przy jego pomocy wgrał na serwery Sanepidu “obce” treści, które następnie wykorzystywał do pozycjonowania (w końcu to linki z domeny rządowej: pis.gov.pl)

Skierowaliśmy w tej sprawie do Sanepidu pytania. Damy znać, kiedy doczekamy się odpowiedzi (i czy nasz adres e-mail zostanie ujawniony przez brak BCC ;)

PS. Skoro jesteśmy przy tym, jakie ślady włamania można znaleźć w SERP-ach Google, to przywołać należy Adama, który kilka dni temu zhackował stronę banku:

Aktualizujcie swoje CMS-y regularnie. Serio.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. To nie Adam tylko skrypt w perlu na fb u was pisałem nawet można znaleźć opis na youtube tego skryptu

    • Perl fajny język jest. całkiem dobrze się w tym programuje. szkoda że odchodzi w zapomnienie, i nie ma prostej metody na kompilację skryptów do bytecode.

    • Potwierdzam, perl to fajny język.
      https://www.famicol.in/sigbovik/
      > 93% of Paint Splatters are Valid Perl Programs

  2. “Jeśli zatem za ten “wyciek danych” należy kogoś winić, to raczej osoby odpowiedzialne za IT w Sanepidzie, które takiego mechanizmu nie wdrożyły lub nieodpowiednio wyszkoliły swoich użytkowników.”

    Nie zwalałbym winy na IT. To nie administrator powinien być odpowiedzialny za dobieranie mechanizmów ochronnych, kształtowanie procedur i polityk. Nawet jeśli jest jeden, jedyny i wyjątkowy. Owszem, zaraz pewnie ktoś wyskoczy z “realiami” ale mimo wszystko, to “szefostwo” ponosi odpowiedzialność za due care ;)

    • ja to rozumiem ze szefgostwo od IT naeży winić a jeśli jest tam posadzony przypadkowy koleś to szefostwo wyżej które pozwala na to żeby IT zarządzał ktoś niekompetentny

    • witaj!
      zacznijmy od początku! współpracuję (jako zewnętrzna firma) z kilkunastoma organizacjami typu powiat, gmina, szkoła itp. Dla mnie niepojęte jest nie ogarnięcie takich spraw jak: strona www, dostęp do internetu (provider), system ERP, E-dokumentacja, edycja dokumentów itp. w placówkach nieważne jakiego ministerstwa, gminy czy powiatu. To w poważnych państwach robi się na szczeblu ministerialnym i negocjuje ogromne upusty. Wracając do sprawy, strony powiatowe pis.gov.pl może ogarnąć 2-3 informatyków na etacie – ale po co.

    • Wina zapewne pracowników ale odpowiedzialność szefostwa.

    • ostatecznie to osoba najwyżej w organizacji za wszystko jest odpowiedzialna, niezależnie czy znalazł sobie kozła ofiarnego czy nie.
      jeśli nieumiejętnie deleguje zadania i rekrutuje kadrę, jego problem.

      tylko że. jeśli to jedyny informatyk, to mi go po prostu szkoda. to jest bezsens aby trzymać w ryzach bezpieczeństwo serwisu, przeplatając to ganianiem po stanowiskach i wyklikiwaniem tego czego rasowi sanepidowcy nie potrafią, lub nie chcą potrafić.

  3. “którzy wbrew rozporządzeniu ”

    No zgroza, jak tak mozna wbrew NIELEGALNEMU rozporzadzeniu ot tak sobie pracowac. Nie wolno pracowac, wolno zdychac. Przeciez wola Zbawcy Narodu najwyzsza wola kazdego polskiego niewolnika.

    To samo warcholstwo przerabialismy 80 lat temu, byl jasny zakaz pomocy Zydom (wiadomo, przenosza tyfus), ale nie, no Polak nie moze posluchac rozporzadzen i byly na tym tle oste konflikty z SS, ktora miala przeciez swoje rozkazy.

    • Czej, że co?

    • @Grzegorz

      Porównał:
      – Policję do SS
      – Lockdown (i jego umocowanie prawne) do zakazu pomocy Żydom w czasie WWII.

    • Zdejmij już tą czapeczkę z cynfolii i zerknij że świat nie jest płaski. Ty otworzysz ‘biznes’ i bedziesz robił za źrodło zarazy. Załóżmy optymistycznie że zarazisz u siebie jakies 100 osób. Z nich 2-3 umrze. I za te 2-3 osoby powinien taki ‘płaskoziemca’ być sądzony jak za morderstwo.

    • @Iion
      Nikt nikomu nie każe korzystać z ‘biznesów’ otwartych wbrew “rozporządzeniu”.
      Ludzie przychodzą tam na własną odpowiedzialność.

    • Policja jest wprawdzie łagodniejsza, ale porównanie jej do SS niestety JEST uprawnione, bo łamie prawa człowieka oraz prawo stanowione.

  4. Dobra dobra, ale stare www to GIS obsługiwał, nie podległe mu stacje :)
    I “zlali temat” kilka ładnych lat temu.

    A teraz nowe idzie…
    Zapytajcie ich od razu o przyszłość tego, co teraz narzucają ludziom.

    Pomijam falę nienawiści na samą instytucję już.

  5. II jak im powierzać wrażliwe dane jak nie są do tego gotowi?

    • Hint: nikt nigdy nie jest “gotowy”.

  6. > Jednym z nich jest odpowiednia konfiguracja serwera/klienta pocztowego,
    > tak aby wysyłka e-maila z wieloma adresami e-mail w polu CC/DW powodowała
    > albo anulowanie wiadomości

    Raczej tego nie widze, pelny blok tez ma swoje wady. Sa emaile/lancuchy ktore zwyczajnie musza byc wyslane do wielu uzytkownikow i/bo kazdy musi widziec ze X czy Y go widzi, i samemu moc odpowiedziec do A, B i C czy temu podobne. Do tego uzytkownicy moga probowac to omijac wysylajac maile z prywatnych skrzynek, bez zadnych zabezpieczen i u Bóg wie kogo (np. od konkurencji, ktora sobie rosci sprawdzanie reklamowe/antyspamowe/antyprzestepcze z czego wycieka info o biznesowi fuzji a oni sa jedna ze stron i ludzie ida siedziec…). Sa mechanizmy ktore da sie tu zastosowac ale to dodatkowe spore komplikacje i nie male koszta.

    > albo wyświetlenie zapytania, czy użytkownik jest świadomy tego co robi.

    Dlaczego dokladnie zakladacie ze takie zapytanie nie zostalo ustawione? Przecietni uzytkownicy notorycznie zlewaja komunikaty (co nie jest czesciowo ich wina, bo “w cyfrowym świecie” jesteśmy non stop bombardowani roznym gó… – ta ryba psuje sie od glowy), wiec tam mogla nawet wyskoczyc czerwone “płonące” okno z duszą, pierworodnym synem i animacją w ktorej po kliknieciu [Tak! Wiem! Dokladnie to mam zamiar zrobic a ogien bedzie kroczyl za mną!!!] zarys napisu wypelniany/wypisywany jest “krwia” z wielkim, blyskajacym [ANULUJ] dostepnym w 30s obowiazkowego czekania – a ludzie i tak to wyślą…

    > Jeśli zatem za ten “wyciek danych” należy kogoś winić,
    > to raczej osoby odpowiedzialne za IT w Sanepidzie,
    > które takiego mechanizmu nie wdrożyły lub nieodpowiednio
    > wyszkoliły swoich użytkowników.

    No właśnie niby tak – ale czy napewno?

    • Chociaz z drugiej strony, po dodaniu wyciekow i tego jak w administracji wyglada wypelnianie etatow IT (cos jak trójkat: “dobre — tanie — szybko, wybierz 2 z 3” tylko, że wszystkie 3 boki sa do d*… mozliwosc ktorej istnienia nawet nie podejrzewalem – ale, w koncu, biurokracja nie musi byc racjonalna…).

      Wiec powiedzialbym, ze niebezpiecznik bardzo logicznie zalozyl ze to wina IT, ale nawet druzgocace prawdopodobnienstwo to jeszcze nie “pewniak”…

  7. Nie chce demonizować, ale nie zdziwiłbym się, gdyby strona internetowa zajmował się zwykły informatyk. Taki, który to robi w przerwie między wymiana tonera w drukarce a naprawa ekspresu do kawy (sic!)

    • jestem przekonany, że tak dokładnie jest, przy czym z z tym ekspresem bym nie szalał, chyba że ktoś podarował, albo pracownicy zrzutę zrobili. To jedna z najbardziej niedofinansowanych instytucji w tym kraju.

  8. Szkoda komentować…
    W związku z badaniami przesiewowymi na Covid nauczycieli, Sanepid przesyłał dyrektorom szkół plik w Excelu z danymi wszystkich nauczycieli z całego powiatu, niezależnie od tego w jakiej szkole pracowali. Nie pytajcie jakie dane były w pliku…
    Pośpiech (???) wyłączył im myślenie. Albo zwykły bałagan i brak procedur.

  9. Doskonale, jeszcze więcej phisingowego spamu.

  10. lepiej nie pytajcie ile takie IT w sanepidzie zarabia, zobaczcie na kwoty bazowe i przeliczniki, a później obwiniajcie ludzi

    • nikt tu nie obwinia pracowników IT z tego co czytałem.
      tutaj wszyscy słusznie hejtują sanepid za ich beztroskę w operowaniu naszymi danymi.

  11. za tą kase co zarabiają w sanepidzie w dziale IT to chłopaki nawet nie muszą wiedzieć co to jest CMS i wcale się nie dziwię.

    • No wlasnie nie… Wymagania sa z kosmosu, chociaz maja bardzo malo do zaoferowania w zamian (oferowanie “stabilnego zatrudnienia na etacie” (nawet jesli) jako benefitu w IT jest troche smieszne) – co paradoksalnie jeszcze pogarsza sprawe, bo na posady lapia ludzi “kreatywnie interpretujacych siebie” i chociaz tacy tez musza gdzies znalesc prace, dlaczego akurat w obszarach o jakby niebylo sporej wadze spolecznej…? (tj. tam gdzie moga sporo napsocic)

    • Niestety pracę w tego typu instytucjach znam od środka (choć nie w sanepidzie). Wymagania są zwykle bardzo wysokie, korzyścią jest niby “stabilność zatrudnienia”, co przyciąga osoby który mają ochotę cwaniakować (permanentny strajk włoski).

      Jeszcze jeden aspekt czasem pracownicy zatrudniani są w drodze “konkursu” a nie konkursu. Nie zawsze jest to patologia (bo np nie można zrobić konkursu na “starsze stanowisko” w który aplikować mogą tylko osoby już zatrudnione na “młodsze” stanowisko, czyli nie da się formalnie zrobić “awansu” w drodze konkursu, ale takie konkursy jakoś tak dziwnym przypadkiem wygrywają już zatrudnieni na młodszych stanowiskach- z tym problemu nie widzę). No ale czasem to są “konkursy” które przypadkiem wygrywają jakieś znajome osoby (raczej nie rodzina – już nie te czasy).

      Czasem robota jest bez sensu, bo wszelkie zakupy sprzętu i oprogramowania mogą być niechętnie widziane, np “po co Win Pro, jak Home jest tańszy”, albo “dysk do serwera za 1000 zł, na morelach jest po 400 zł”. Ale częściej jest normalnie, choć ustawa o zamówieniach publicznych sprawia, że prawie każdy zakup (nieawaryjny) trwa miesiącami co może być problemem. Problemem swego czasu był zakaz ingerowania w sprzęt kupiony za unijne pieniądze (przez chyba 5 lat), choć po pewnym czasie wyjaśniło się, że przedmuchanie komputerów sprężonym powietrzem się nie liczy (po prostu się czyściło te komputery nie pytając nikogo o zdanie)

      A i jeszcze się spotkałem z idiotycznym budżetowaniem:
      – nie ma 1000 zł na drugi monitor (bo przetarg był na X szt, a kolejny za 2 lata, a monitor musi być z przetargu), ale nie ma problemu kupić drukarkę za 5000, bo na drukarki nie było przetargu.
      Nie zdziwiłbym się jakby ktoś się dogadał “faktura na coś co nie trafia do środków trwałych, przyślijcie monitor”.

      W IT w instytucjach państwowych problemem jest to, że status tych pracowników jest często bardzo niski (zwłaszcza w takich “powiatowych”), decyduje szef, który nie ma o tym zielonego pojęcia. I szef może uznać że nie wie i zdać się na kogoś kto się zna, albo uznać, że wie lepiej bo jest szefem. Przy czym szef może być specem od technologii żywności o IT wie tyle, że umie włączyć swojego laptopa i sprawdzić maila. A decyduje np o backupach danych z serwerowni.

      No i dużo energii trzeba poświęcić na walkę z Bareją.

  12. Kilka lat w IT PSSE:
    Czterocyfrowa wypłata zaczynająca się dwójką z przodu.
    Powszechny windows XP w czasach gdy była dostępna już 10tka.
    Switche Planet, zyxel i najtańsze g*** i topologia od pokoju do pokoju.
    Jak prądu brakło to informatyk szukał przyczyny. Telefony, faksy, centralka telefoniczna, klimatyzacja, kuchenka mikrofalowa, rozładować papier do drukarek z dostawy – to wszystko wykonuje IT.
    Brak u ludzi podstawowych umiejętności obsługi komputera, wśród pracowników niechęć do nauki obsługi pakietu office (bo IT zredaguje pismo za mnie) brak umiejętności obsługi smartfona.

    Serwery stawiane na najtańszym możliwym sprzęcie,a i tak pyskówki że mam czelność zamawiać takiego drogiego (jakiś syf orwaldi za 300zł UPSa pod serwer i na co to komu).
    Wdrażane programy komputerowe i kupowany sprzęt w ramach odgórnych przetargów, za które do dziś jakimś cudem nikogo nie skazali…

    Nigdy nie było czasu na to, żeby logi serwerów przeglądnąć bo bym musiał tam po 12 godzin siedzieć. Strony postawione na darmowych CMSach po godzinach, dzięki bogu udało się wypchnąć hosting + pocztę na zewnętrznego operatora. Jaki cyrk był, jak VPN wdrażałem…

    Jakim szczęśliwym człowiekiem jestem, że już mnie tam od dawna nie ma.

Odpowiadasz na komentarz kris

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: