Підписуйтеся на наш телеграм канал!
Застарілий пароль призвів до зливу державної таємниці у Польщі
Журналісти польського медіа «OKO.press» виявили, що через пароль, який давно став надбанням широкого загалу в інтернеті, можна отримати доступ до конфіденційної бази урядових даних. Вона містить детальні карти військового порту Гдині, план евакуації Варшави на випадок повені та іншу секретну інформацію.
Три роки тому працівник польської філії американської компанії ESRI, розробника ПЗ для створення карт ArcGIS, відправив електронною поштою посилання на презентацію, яка аналізує один із кризових сценаріїв у Варшаві. У ній він вказав логін і пароль для доступу до презентації.
Журналісти OKO. press також з’ясували, що пароль, який було надіслано ще у 2020 році, залишався чинним до 5 травня цього року. Це означає, що власники польського урядового профілю в ArcGIS навіть не знали про те, що їхні облікові дані впродовж трьох років перебували у відкритому доступі, а секретна інформація, яка містилася в системі, не раз могла експлуатуватися зловмисниками.
У Польщі заявили, що відбулася масована хакерська атака — разом з паролем до хмарного облікового запису ArcGIS кіберзловмисники викрали «тисячі листів». Щоправда, досі невідомо, яке угруповування чи країна за цим стоїть.
Згідно з OKO. press, лист також містив чимало інших секретних даних — списки польських прикордонників, регулярного війська, поліції, військової розвідки та військ спеціального призначення. Також там знаходилися детальні дані про пандемію коронавірусу у Польщі - з інформацією про смертність, захворюваність та кількість одужалих у конкретні дні з розбивкою по провінціях.
Це не перший випадок, коли у польському уряді порушуються процедури безпеки. У березні 2022 року стало відомо, що наступного дня після повномасштабного військового вторгнення росії в Україну польський прем'єр-міністр Матеуш Моравецький надіслав на приватну електронну пошту генерального директора PKN Orlen Даніеля Обайтека, офіційну кореспонденцію щодо військової допомоги, яку просила Україна у Польщі. Йшлося про постачання палива для українських військових. Прем'єр-міністр переслав цей лист без відома спеціалістів з кібербезпеки.
На той час Польща мала третій рівень кіберзагрози під назвою CHARLIE-CRP. Його оголошують лише тоді, коли існує реальна ймовірність терористичних атак.