[Aktualizacja] Otrzymaliśmy komunikat firmy Rodan Systems:
Informujemy, że opisany błąd dotyczył tylko jednego modułu oprogramowania przystosowanego do specyficznych potrzeb danego klienta. Problem był więc incydentalny i dotyczył tylko jednej instytucji. Na liście referencyjnej znajdują się urzędy, które korzystają z innych systemów zbudowanych w oparciu o platformę OfficeObjects więc nie można łączyć nazw tych instytucji z omawianą sprawą. Ponownie zapewniamy, że problem nie dotyczył żadnej innej instytucji wykorzystującej oprogramowanie OfficeObjects.
[Oryginalna wiadomość] Jak doniósł Niebezpiecznik , na forum tdhack.com już 8 sierpnia opisano sposób na wyciągnięcie ze strony ANR w banalny wręcz sposób takich informacji, jak:
- imię i nazwisko
- hasło
- PESEL
- adres e-mail
- numer telefonu
- adres zamieszkania
Luka znalazła się w oprogramowaniu OfficeObjects firmy Rodan. Odszyfrowanie tych danych nie sprawiało większych problemów, ponieważ zastosowano kodowanie Base64 . Za pomocą tych informacji można się było potem zalogować do Elektronicznej Skrzynki Podawczej i prześledzić wnioski pechowej osoby.
Problem należy już do przeszłości, ponieważ został naprawiony. Jak wynika z odpowiedzi firmy Rodan dla Niebezpiecznika, pierwszy raz lukę załatano jeszcze 8 sierpnia, a fakt, że pojawiła się znowu, wynika z powodu prowadzonych prac konwersacyjnych. Firma zapewnia, że luka nie jest obecna w żadnym innym systemie rządowym korzystającym z OfficeObjects. Oby tak było w rzeczywistości, ponieważ lista instytucji jest naprawdę długa:
1. Agencja Nieruchomości Rolnych 2. Akademia Morska w Gdyni 3. Biuro Rzecznika Praw Obywatelskich 4. Biuletyn Informacji Publicznej (1600 Jednostek Samorządu Terytorialnego) 8. Główny Inspektorat Transportu Drogowego 9. Instytut Biochemii i Biofizyki Polskiej Akademii Nauk 10. Instytut Lotnictwa 12. Instytut Pamięci Narodowej 13. Instytut Tele- i Radiotechniczny 16. Kancelaria Prezesa Rady Ministrów 17. Komenda Główna Państwowej Straży Pożarnej 18. Komisja Papierów Wartościowych i Giełd (obecnie KNF 21. Metro Warszawskie 22. Miejski Zarząd Dróg Częstochowa 23. Ministerstwo Gospodarki 24. Ministerstwo Infrastruktury 25. Ministerstwo Nauki i Informatyzacji 26. Ministerstwo Pracy i Polityki Społecznej 27. Ministerstwo Rozwoju Regionalnego 28. Ministerstwo Spraw Wewnętrznych i Administracji 29. Narodowy Bank Polski 30. NFZ Lublin 31. PGL Lasy Państwowe 32. Politechnika Poznańska 33. Politechnika Warszawska 35. Starostwo Powiatowe w Mikołowie 40. Stowarzyszenie Autorów Zaiks 41. Uniwersytet Ekonomiczny we Wrocławiu 42. Uniwersytet Ekonomiczny w Poznaniu 43. Urząd Dozoru Technicznego 56. Urząd Lotnictwa Cywilnego 57. Urząd Marszałkowski Województwa Małopolskiego 58. Urząd Marszałkowski Województwa Mazowieckiego 59. Urząd Marszałkowski Województwa Świętokrzyskiego 60. Urząd Marszałkowski Województwa Wielkopolskiego 62. Urząd Miasta Stołecznego Warszawa 69. Urząd Miasta Katowice 78. Urząd Morski w Gdyni 79. Urząd Służby Cywilnej 80. Wielkopolski Urząd Wojewódzki 81. Wojewódzki Urząd Pracy w Krakowie 82. WWF Polska - Światowy Fundusz na Rzecz Przyrody 83. Wyższa Szkoła Bankowa w Poznaniu
Mamy nadzieję, że problem już się nie powtórzy. Co jak co, ale instytucje rządowe powinny być jak najlepiej zabezpieczone przed wyciekiem danych.
