13:17
13/8/2021

Policja poinformowała o zatrzymaniu 27-latka, który bez uprawnienia wszedł na konta 239 osób oraz udostępnił innym pozyskane dane do logowań. Wiele wskazuje, że podejrzany, to osoba, o której działaniach ostrzegaliśmy Was 21 lipca na naszych mediach społecznościowych. Ale ta historia ma drugie dno. Zapraszamy do lektury!

Edisona wypuścili, a jego nie

Niedawno opisywaliśmy zatrzymanie Edisona. Przypomnijmy — pobrał on nagrania rozmów z publicznie dostępnego i niezabezpieczonego serwera przechowującego dane klientów Taurona. Edison twierdzi, że intencją jego działań była chęć zwiększenia zabezpieczeń. Dzień po zatrzymaniu poinformował nas, że po przesłuchaniu został zwolniony do domu.

O takim szczęściu nie może powiedzieć zatrzymany kilka dni temu 27-latek z Podkarpacia. Został tymczasowo aresztowany na dwa miesiące. Wiele osób zastanawia się dlaczego, wskazując, że obie sprawy są podobne, bo podobnie jak Edison, aresztowany 27-latek:

  • utrzymywał, że działa w celu poprawy bezpieczeństwa Polaków
  • “przyznał się do ataku” (tu: na Profil Zaufany)
  • a w dodatku, w przeciwieństwie do Edisona, nikogo nie szantażował

Czy na pewno te sprawy są aż tak podobne? Przyjrzyjmy się bliżej wydarzeniom związanym z atakiem na Profil Zaufany.

Na czym polegały ataki?

27-latek “sprawdzał” czy hasła Polaków znajdujące się w różnych wyciekach pasują też do ich Profilu Zaufanego. Fachowo taki atak nazywa się “credential stuffingiem” i polega na sprawdzeniu, czy pary (login + hasło) pochodzące z różnych wycieków i wykradzionych baz danych pasują do jakiegoś serwisu — tu, do Profilu Zaufanego.

Masowe próby logowania nie są “ciche”. Widać je i administracja serwisu, jeśli tylko analizuje logi, może zauważyć, że ktoś próbuje zgadywać hasła. Administratorzy Profilu Zaufanego najwyraźniej dostrzegli działania atakującego, bo jak poinformował nas Janusz Cieszyński, sekretarz stanu, pełnomocnik Rządu do Spraw Cyberbezpieczeństwa, PZ wdrożył funkcję powiadamiania właścicieli kont o nieudanej próbie logowania.


To właśnie dzięki tej funkcji redakcja Niebezpiecznika dowiedziała się o ataku. 20 lipca zaczęliśmy otrzymywać zgłoszenia od zaniepokojonych Czytelników i wystosowaliśmy ostrzeżenie, radząc aby zmienić w PZ hasło na unikatowe.

Nasze ostrzeżenie zostało też odczytane przez atakującego, który — jak wynika z pozyskanych przez naszą redakcję informacji — swoimi działaniami chwalił się na pewnym serwerze Discorda, zdradzając że jego adres IP “nie jest banowany” pomimo atakowania i informując, że uzyskał dostęp do 12 kont.

Co zaskakujące, atakujący wypowiadał się korzystając z dość unikatowego pseudonimu. W internecie znaleźć można wiele kont założonych na tego nicka. Na podstawie analizy dostępnych w internecie informacji dotyczących tego pseudonimu stawiamy tezę, że zatrzymany przez policję 27-latek i autor powyższych wypowiedzi, to ta sama osoba.

Po analizie komputera odkryto 10 razy więcej ofiar…

W oświadczeniu policji, w pierwszym akapicie, mowa o “włamaniu na konta 239 użytkowników“. Ale w kolejnych czytamy:

mężczyzna włamał się do Systemu Dostawcy Tożsamości na konto co najmniej 27 użytkowników Profilu Zaufanego.

a potem:

Podczas przeprowadzonych czynności policjanci ustalili, że mężczyzna jest również odpowiedzialny za podobny atak hakerski na konta 212 użytkowników Profilu Zaufanego, do którego doszło w dniach od 2 do 4 sierpnia. Informacja ta została potwierdzona w Wydziale Nadzoru nad Systemami Legalizacji Kancelarii Prezesa Rady Ministrów.

Wygląda więc na to, że działania policji sprowokowała lipcowe ataki w których 27-latek trafił 27 ofiar, a podczas analizy zabezpieczonego komputera, policjanci odkryli, że w sierpniu mężczyzna dodatkowo zaatakował 212 kont.

Dlaczego policjanci od razu nie wiedzieli, że ofiar jest o 212 więcej? Być może atakujący pierwsze “sprawdzenia” robił nie maskując swojego adresu IP lub w inny sposób, który pozwolił na powiązanie ich z jego osobą, a do kolejnych już “bardziej się przyłożył”. O ile anonimizacja ruchu internetowego mogła mu się udać, to jak widać dostępu do swoich danych na komputerze nie bronił — policjanci je pozyskali:

Mężczyzna został zatrzymany w swoim domu, gdzie podczas przeszukania policjanci zabezpieczyli laptop, z którego został przeprowadzony atak hakerski, twarde dyski, pendrive, modem, router oraz kartę SIM. W trakcie dokładnego sprawdzenia komputera funkcjonariusze ujawnili liczne bazy danych loginów i haseł oraz oprogramowanie służące jako tzw. narzędzie hakerskie. (…) Grozi mu kara do 8 lat pozbawienia wolności.

Kara do 8 lat sugeruje, że mężczyzna ma zarzut z Art. 269. § 1:

Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

Ale to co zrobił, to przecież powinni robić wszyscy administratorzy swoim systemom!

Gdyby działania 27-latka polegały tylko na ataku “credential stuffingu”, to bylibyśmy nawet trochę zaniepokojeni taką reakcją organów ścigania. Bo w zasadzie on zrobił dokładnie to, co każdy administrator powinien mieć obowiązek robienia. I to regularnie!

Sprawdzanie danych z wycieku X, Y i Z pod kątem “własnego” serwisu warto robić, bo jest niemalże pewne, że prędzej czy później zrobi to ktoś zły i nasi użytkownicy będą mieli spory problem. Niestety polskie prawo nie jest do końca jasne, jeśli chodzi o to, czy można sobie “pobrać dumpa” z wycieku i “odbić” go o własny system w celu ochrony naszych użytkowników (więcej o tym poniżej).

Dlatego jeśli ktoś nie chce podejmować ryzyka, powinien pójść inną drogą i wymusić na użytkownikach włączenie dwuetapowego uwierzytelnienia. Nawet w najsłabszym wariancie chroni to przed problemem “password reuse” na którym opierają się ataku “credential stuffingu”.

Ale wygląda na to, że aresztowany 27-latek robił nie tylko “credential stuffing” ma na sumieniu. Domyślamy się, że prawdopodobnie także czyny opisane w Art. 269b. § 1. mogą znaleźć się pośród postawionych mu zarzutów, zwłaszcza, że policja wspomina w swojej notatce o “udostępnianiu danych innym osobom” i o “ujawnieniu narzędzi hakerskich“, chociaż te narzędzia to pewnie jakieś skrypty do przeprowadzania ataków zgadywania haseł.

Też mam nmapa, Kaliego lub inne narzędzia hakerskie, co robić, jak żyć?

Jeśli macie Kali Linuxa, korzystacie z metasploita, używacie nmapa a czasem nawet puścicie hydrę i teraz zadrżeliście, bo przecież też jak aresztowany 27-latek pozyskaliście “narzędzia hakerskie”, to nie wpadajcie w panikę ;) To nie naraża Was na odpowiedzialność karną jeśli działacie wyłącznie w celu zabezpieczania systemu informatycznego.

Przypomnijmy to, co jest kluczowe dla tzw. bug-hunterów i osób, którym przyjdzie do głowy testowanie bezpieczeństwa różnych systemów czyli tzw. testy penetracyjne, także “nieoficjalne”. Dzięki działaniom byłej minister Anny Streżyńskiej, samo przeprowadzenie testu (czyt. ataku) nie jest jeszcze przestępstwem, o ile realizowane jest zgodnie z zasadami nakreślonymi w art. 269c lub art. 269b §1a. Czyli:

  • trzeba działać wyłącznie w celu zabezpieczenia systemu albo opracowania takiej metody
  • trzeba niezwłocznie powiadomić dysponenta systemu o ujawnionych zagrożeniach
  • “atak” nie naruszył interesu publicznego lub prywatnego i nie wyrządził szkody
Uwaga! To nie oznacza, że z automatu każda firma, w której systemach znajdziecie podatności “nie naśle na was” organów ścigania. Ryzyko tułaczki po sądach wciąż istnieje, nawet jeśli błąd zgłosiliście etycznie, nie uciekając się do jakiegokolwiek szantażu. Jeśli nie chcecie podejmować ryzyka, zapraszamy do kontaktu z nami, z chęcią pomożemy Wam anonimowo zgłosić błąd — od lat pośredniczymy w zgłaszaniu luk w różnych systemach w imieniu Czytelników. Zgłaszający ma wtedy pewność ochrony swojej tożsamości i tego, że firma nie zignoruje problemu, a system zostanie zabezpieczony. Nie jest to regułą, ale często takie zgłoszenia kończą się też jakąś nagrodą dla odkrywcy błędu i wszyscy są zadowoleni, a internauci bezpieczniejsi.

Zaatakuj swoje systemy i zabezpiecz je!

A gdyby ktoś chciał nauczyć się etycznego hackowania i pentestowania (swoich) sieci i systemów komputerowych, to zapraszamy na nasze bestsellerowe, szkolenie z Bezpieczeństwa Sieci Komputerowych. Trwa 3 dni i ~85% czasu to praktycze laby, w ramach których poznajecie różne techniki i dziesiątki narzędzi, przy pomocy których możecie testować bezpieczeństwo swoich systemów i tym samym chronić swoich użytkowników. Opis szkolenia znajdziecie tutaj, a my ograniczymy się tu tylko do wpisania kilku opinii kilku uczestników z grupy już ponad 3200 przeszkolonych osób.

Bardzo dobre szkolenie i mnóstwo dodatkowych materiałów, które spokojnie można czytać przez kolejne trzy miesiące ;)

Zdecydowanie polecam (…) przystępna forma prowadzenia całości sprawia, że przez całe 3 dni człowiek się nie nudzi a ilość wiedzy jest jednocześnie obszerna i przyswajalna. Zdecydowanie podnosi świadomość w temacie bezpieczeństwa sieci.

Mocne nastawienie na praktykę. Dobrze się słucha ludzi, którzy znają się na tym o czym mówią.

Szkolenie bardzo profesjonalnie prowadzone. Trenerzy świetnie przygotowani, będący jednocześnie praktykami w przekazywanej wiedzy. Informacje przekazane w sposób zrozumiały dla każdego i dający wiele satysfakcji (zdobywanie kolejnych maszyn)

Moja wiedza uległa dużemu zwiększeniu, dowiedziałem się jak naprawdę zabrać się do testów penetracyjnych. Dużo praktyki. Polecam.

Najbliższe terminy:

Kraków: 10-12 kwietnia 2024r. — UWAGA: zostało tylko 1 wolne miejsce
Ostatnio ktoś zarejestrował się 26 marca 2024r. → zarejestruj się na to szkolenie

    3899 PLN netto (do 29 marca)
    4399 PLN netto (od 30 marca)

Warszawa: 15-17 maja 2024r. — UWAGA: zostały tylko 3 wolne miejsca
Ostatnio ktoś zarejestrował się 27 marca 2024r. → zarejestruj się na to szkolenie

    3899 PLN netto (do 29 marca)
    4399 PLN netto (od 30 marca)

Wrocław: 19-21 czerwca 2024r. — zostało 6 wolnych miejsc
Ostatnio ktoś zarejestrował się 20 marca 2024r. → zarejestruj się na to szkolenie

    3899 PLN netto (do 5 kwietnia)
    4399 PLN netto (od 6 kwietnia)

ZDALNIE: 03-05 lipca 2024r. — zostało 7 wolnych miejsc
Ostatnio ktoś zarejestrował się 27 marca 2024r. → zarejestruj się na to szkolenie

    3899 PLN netto (do 5 kwietnia)
    4399 PLN netto (od 6 kwietnia)

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

23 komentarzy

Dodaj komentarz
  1. A co w sytuacji gdy pobrałem wyciekniętą bazę żeby sprawdzić, czy mnie w niej nie ma? Za samo posiadanie takiego pliku coś grozi?

    • I tak i nie. Wypełniasz Art. 269b. § 1. (pozyskuje hasła komputerowe umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym), ale jednocześnie jeśli spełnisz kontratyp z § 1a to jesteś ok, tak jak napisał w artykule Niebezpiecznik, bo (Nie popełnia przestępstwa określonego w § 1, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego). Tylko tu musisz wykazać że twoje działania miały ten cel. Wyłącznie ten.

    • Chyba coś grozi z RODO. Jakby to bezsensownie nie brzmiało, pobierając dostępną dla wszystkich w sieci bazę na swój komputer stajesz się administratorem danych osobowych i podpadasz pod RODO. Tak słyszałem, nie wiem czy to prawda.

  2. nie ma czegoś takiego jak serwer discorda. jak już, to w cudzysłowie winno być.

    • Jest. Niebezpiecznik ma nawet swój serwer na Discordzie dla uczestników szkoleń.

    • “Serwer” implikuje, ze Discord jest zdecentralizowany. A nie jest – wlasnego serwera Discorda nie postawisz. Nomenklatura firmy celowo zaciemnia prawde.

  3. “(..) policjanci zabezpieczyli laptop, z którego został przeprowadzony ATAK HAKERSKI”. Dość hucznie nazwana czynność. Coś jak przejść się po klatce schodowej i naciskać klamki. No szanujmy prawdziwych hakerów (tych, co potrafią coś więcej niż wpisać login i hasło).

    • policja komunikuje to ogółowi społeczeństwa. Mogli sobie ten “hakerski” darować ale sieganie do niszowej etymologi to zbyt duze wymaganie ;] plus im sie nalezy tak czy inaczej bo w oryginalnym artykule na policja.pl ostrzegaja przed uzywaniem tego samego hasla. pierwszy raz chyba nie tylko suchy komunikat “zlapalismy przestepce” ale takze sensowna porada.

    • Po prostu policja zajmuje się głównie zapewnianiem o swojej kompetencji, profesjonalizmie i skuteczności. A rzeczywistość skrzeczy i będzie skrzeczała coraz głośniej, bo odrobinę ogarnięci przestępcy komputerowi nie są łapani przez polską policję, a i policje i służby poważnych państw mają z nimi ogromne, wieloletnie kłopoty. Bywa, że nie namierzają ich nigdy.

  4. jednym słowem tylko veracrypt na całym dysku,

    • Jak najbardziej POPIERAM

      Ja sam też miałem incydent (na szczęście nigroźny) z udziałem smerfów w 2006 roku i już od tamtego czasu od razu “uściśliłem zabezpieczenia” na wypadek gdyby jakiś “Zabłąkany turysta” przyplątał się o 6:00 rano

      1 – Vera crypt, wszystkie dyski szyfrowane w całości + 2FA

      2 – Przyzwoity VPN o którym wiem że się nie sprzeda

      3 – 2 Niezależne telefony: 1 Prywatny a drugi “Słup” do działań OSINT-owych i innych drażliwych tematów

      4 – QNAP (z zaimplementowanym VC – szyfrowany) ukryty poza domem gdyby “ktoś” wpadł na genialny pomysł żeby zrobić przeszukanie

      5 – I od niedawna: Dedykowany serwer z zestawem narzędzi do Remote access – Rzecz jasna zrejestrowany NIE na moje prawdziwe nazwisko

  5. “trzeba działać wyłącznie w celu zabezpieczenia systemu albo opracowania takiej metody”

    Kilka lat temu, kiedy robiłem zadanie na zajęcia na uczelni, które polegało na próbie zhackowania strony internetowej wydziału (oczywiście nieudanej – chodziło o zapoznanie się z różnymi atakami i wypróbowanie ich).

    Ten przepis nie uwzględnia celów edukacyjnych. Czy to znaczy, że popełniłem (jak i wielu innych studentów…) przestępstwo?

  6. Nie atakujcie systemów informatycznych własnej firmy, nawet w ramach testów. To jest niebywale niebezpieczne pod kątem prawnym jeśli się wyda.
    Do takich pentestów zawsze jest potrzebna pisemna zgoda zarządu firmy.

  7. Ja bym mu dał dożywocie.
    Pasożyt

  8. Z taką posturą to mu szybko na pryczy koledzy gwint zerwą.
    Oprócz klepaani w klawiaturkę mógł jeszcze popizgać żelazem na siłce i omkę domięśniowo poprzyjmować.
    Bo słabo to widzę, chyba że rodzice będą mu przekazy sypać na fajki tudzież trefny towar.

  9. Loop zapomniał o torze

  10. Według mnie zapowiadana kara nieadekwatna do winy. Bodaj za rozbój jest od 2 do 12 lat… ale spoko, bo przecież te dane są tak wartościowe.

  11. Hahah ale popis milicji ze namierzyli script kiddiego XD. Nie ma bata musial sie im podlozyc bo jakos do tej pory nawet sluzby specjalne mialyby ze mna problem (^_^). Poza tym kiedy moje dane wyciekly z serwerow rzadowych i dostalem informacje na maila ze ktos je wykorzystal to napisalem do CERTu i innych ze bede prowadzil ataki w tym na rzadowe systemy jak epuap i jakos nic nikt nie zrobil ale prosili bym sie powstrzymal i to zignorowal. Jednakze skoro mnie narazili to ja musze dzialac a oni musza poniesc konsekwencje.

  12. no to fajnie zabezpieczone kto to odpowiada za takie cos w sensie za slabe zabepieczenie?

  13. Pozdro WygenMiLinka !!! Nie daj się tam w pierdlu. Sciskaj pośladki mocno

  14. […] Ktoś sięgnął do różnych baz z wyciekami z różnych serwisów. Wziął z nich loginy i hasła, a następnie sprawdził, czy na te same dane może się zalogować na lotto.pl. Taki atak nazywamy mianem “credential stuffing”. Polaka, który rok temu tak atakował Profil Zaufany złapano i skazano. […]

  15. A orientujecie się co zabiera policja podczas takiego przeszukania? Czy cały sprzęt elektroniczny znajdujący się w pokoju, czyli wszystkie stare telefony, ps3 i komputer dziecka?

    • Zależy od tego o co poprosi prokurator. Zapewne będą to “wszystkie nośniki danych”.

Odpowiadasz na komentarz Olaf

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: