DAJ CYNK

Wyciek danych z Ordo Iuris. Wiadomo, kto wpłaca na organizację

Piotr Urbaniak (gtxxor)

Bezpieczeństwo

Wyciek danych z Ordo Iuris. Wiadomo, kto wpłaca na organizację

Intrygujący plik został znaleziony w domenie należącej do Instytutu Ordo Iuris. Nie był w żaden sposób zabezpieczony przed dostępem.

Dalsza część tekstu pod wideo
 

Złośliwi mawiają, że nie ma czegoś takiego jak wyciek danych, bo albo jest atak, a co za tym idzie kradzież, albo wpadka polegająca na braku stosownych zabezpieczeń. I cóż, zdaje się, że tym razem mamy do czynienia z książkowym przykładem opcji numer dwa. 

Na stronie internetowej Instytutu Ordo Iuris, a konkretniej w subdomenie służącej od obsługi email marketingu, znaleziono bardzo intrygujący plik. To arkusz w formacie CSV, zawierający ponad 27 tys. adresów e-mail, które każdorazowo, prócz rekordów porządkowych, powiązane są m.in. z numerem rachunku bankowego.

Wyciek danych z Ordo Iuris. Wiadomo, kto wpłaca na organizację

Gdy internauci zaczęli nagłaśniać sprawę, rzeczone dane szybko zniknęły, ale dalej można uzyskać do nich dostęp poprzez Internet Archive. Zapewne plik został też wielokrotnie pobrany i niewykluczone, że wkrótce mocno się rozprzestrzeni.

Formalnie na tę chwilę możemy dowiedzieć się tylko, że w pechowej domenie wygasł certyfikat SSL.

Teoria zakłada, że plik zawiera listę darczyńców organizacji i abstrahując od wątków politycznych, jest to niewątpliwie łakomy kąsek dla wszelkich oszustów. Wiele spośród adresów ma format ujawniający nazwisko danej osoby, a posiadanie dodatkowo informacji o jej numerze konta to świetny punkt wyjścia pod atak socjotechniczny.

Kwestią otwartą pozostaje autentyczność zbioru. Oczywiście to, że jakieś dane w nim są, nie ulega żadnej wątpliwości. Pytanie, czy pokrywają się one ze stanem faktycznym. Na tę chwilę w żadnym stopniu nie można wykluczyć tu działania dywersyjnego.

Aktualizacja (14-10-2023 22:20)

Instytut Ordo Iuris potwierdził autentyczność pliku swoim oświadczeniem. Jak przyznaje, doszło do nieautoryzowanego dostępu do części danych wysyłkowych newslettera. Dobra wiadomość jest taka, że numery kont nie należą do samych darczyńców, lecz do organizacji, a konkretniej systemu obsługującego płatności. 

Jak do tego doszło? Wadliwie zapisany przez aplikację wysyłkową plik z danymi wysyłkowymi umieszczony został automatycznie w niezabezpieczonej przestrzeni serwera. Podjęte przez nas niezwłocznie po ustaleniu błędu działania doprowadziły do zablokowania dostępu dla osób trzecich. Wdrożone środki bezpieczeństwa zabezpieczyły bazę przed podobnymi naruszeniami w przyszłości. Jeżeli zidentyfikujemy jakiekolwiek inne miejsce udostępniające skopiowany z naszego serwera plik, niezwłocznie podejmiemy działania zmierzające do jego usunięcia. Wobec wszystkich osób udostępniających plik lub fragmenty danych, złożymy zawiadomienie o podejrzeniu popełnienia przestępstwa. Ponadto złożyliśmy przewidziane prawem zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych.

– czytamy w oficjalnym komunikacie Ordo Iuris.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Milosz Kubiak / Shutterstock

Źródło tekstu: Twitter, oprac. własne