autor: Dariusz Kędra
Tauron ma problem z zabezpieczeniami - dane klientów spółki mógł pobrać każdy
W zeszły piątek zrobiło się głośno na temat wycieku danych klientów Taurona. Jak się okazuje, żadnego włamania tak naprawdę nie było. Dane klientów były dostępne do pobrania dla każdego co najmniej przez miesiąc. Za odkryciem stoi haker z Piły.
- Haker z Piły zdradził szczegóły toku zdarzeń, w wyniku którego stał się posiadaczem danych osobowych klientów Taurona. Po przekazaniu Niebezpiecznikowi informacji na temat braku zabezpieczeń dane rzekomo usunął.
- Wrażliwe informacje były publicznie dostępne co najmniej od 29 czerwca do 27 lipca.
- Sprawą zajmuje się już policja, a Tauron wyjaśnia ją, jednocześnie naprawiając błędy swoich podwykonawców.
Miniony weekend dla niektórych upłynął pod znakiem dyskusji o tym, jak to możliwe, że gigantyczna firma Tauron, zajmująca się dystrybucją energii w naszym kraju, nie posiadała odpowiednich zabezpieczeń danych. Przecież ochrona wrażliwych informacji swoich klientów powinna znajdować się wysoko na liście priorytetów spółki. Okazuje się jednak, że domniemane zabezpieczenia nie miały żadnego znaczenia. Jak podaje serwis Niebezpiecznik, dane z serwerów firm obsługujących call center Tauronu nie zostały przejęte siłą – były dostępne dla każdego zainteresowanego.
Dane klientów Taurona podane na talerzu
Niekompetencja pracowników sprawiła, że wrażliwe informacje mogły trafić w ręce przestępców. Haker, którego serwis Niebezpiecznik roboczo przezwał „Edison”, stwierdził, że pobrał dane i wcale nie musiał włamywać się na serwery firmy. Według niego osoby odpowiedzialne za zabezpieczenie przechowywanych danych zwyczajnie nie wykonały swojego zadania.
Co interesujące, Edison pierwotnie nie planował ściągać informacji z serwerów Taurona. Zrobił to na skutek nieudanej próby ataku na jego serwer. Zorientowawszy się, że jedno z atakujących IP prowadzi go do serwera z listą niezabezpieczonych katalogów zawierających między innymi dane klientów, zaskoczony pobrał je i zaczął zastanawiać się nad kolejnym krokiem.
Prawdopodobnie fakt, że Edison, czy jak siebie określił w rozmowie z konsultantem Taurona „haker z Piły”, był pod wpływem alkoholu podczas całego zdarzenia, pomógł mu w podjęciu kolejnych decyzji. Po pierwsze, zaczął dzwonić na wybrane z pobranych numerów telefonicznych klientów i starał im się przekazać, że ich dane są w niebezpieczeństwie. Następnie wybrał numer infolinii dystrybutora energii i poinformował konsultanta o braku zabezpieczeń. Edison miał zostać w tym momencie wyśmiany przez rozmówcę i określony jako osoba chora psychicznie. Na skutek tego haker z Piły w celu ukarania Taurona najpierw starał się postraszyć konsultantów ujawnieniem danych, chyba że zapłacą mu 200 zł za milczenie (później kwotę podbił do 10 000 zł), a później nadał wiadomość na skrzynkę Niebezpiecznika, w której w dość oryginalny sposób opisał zdarzenie. Zainteresowanych treścią wiadomości oraz szczegółami sprawy kierujemy na stronę artykułu napisanego przez redaktorów tego serwisu.
Włamania wcale nie było?
Może brzmieć to nieprawdopodobnie, ale według Edisona właśnie tak jest. Haker do niczego włamywać się nie musiał. Dane, których stał się posiadaczem, według Niebezpiecznika były dostępne dla każdego co najmniej między 29 czerwca a 27 lipca. Bohater tego newsa przyznaje, że pobrane dane usunął ze swoich dysków. Oczywiście poza jego słowem nie mamy na to żadnych dowodów.
Fakt niezabezpieczenia danych klientów nie jest jednak uzasadnieniem do ich pobrania przez nieuprawnione osoby. Pamiętać trzeba, że Tauron nie prowadzi otwartego domu(strony?) i bezdyskusyjne są oczekiwania odpowiedniej ochrony klientów i ich osobistych danych. Spółka bierze za to odpowiedzialność pomimo faktu, że zgodnie z komunikatem rzeczniczki Taurona za zabezpieczenie i przechowywanie udostępnionych danych odpowiadały dwie firmy partnerskie: PROMO-ART. Sp. z.o.o. oraz TRADE OFFICE sp. z.o.o. W ramach audytu określone zostanie, ile rzeczywiście danych wypłynęło – według Edisona to około 200 GB informacji i 2 miliony unikatowych numerów telefonicznych.
Jesteś klientem – czy masz czego się obawiać?
Pocieszenie stanowi fakt, że opisany wyżej incydent nie był klasycznym włamaniem, a Edison zadeklarował, że pobrane dane wymazał. Nawet jeśli faktycznie tak zrobił, to pamiętajmy, że dostęp do danych znalezionych na sewerach Taurona mogły mieć inne osoby, mniej skore do bezpośredniego pochwalenia się internautom swoimi wyczynami. Gigant energetyczny zainteresowal się już sprawą i prawdopodobnie problem już się nie powtórzy. Miejmy taką nadzieję.
Powyższa sprawa „wycieku” danych klientów Taurona prawdopodobnie przejdzie do historii. Po pierwsze, mamy tu sytuację, w której duża firma outsource’uje swoje uslugi do małych i co ciekawe, powiązanych ze sobą podwykonawców. Nie jest jasne, co zdecydowało o wyborze akurat tych spółek i przekazaniu im wrażliwych danych osobowych. Co więcej, podwykonawcy Taurona mieli powierzyć wykonywanie swoich usług własnemu podwykonawcy, tworząc w ten sposób relatywnie skomplikowany łańcuch dostaw.
Po drugie i trzecie, osoba, która znalazła lukę w zabezpieczeniach (a właściwie ich brak), początkowo została zignorowana przez konsultantów, a następnie zdecydowała się na szantaż firmy rzekomo w celu zwrócenia jej uwagi na problem. Zachowanie obu stron jest zaskakująco nieodpowiedzialne i może być dla nich przykre w skutkach.
Ciekawe co więcej usłyszymy o tej sprawie? Czy Tauron faktycznie poprawi swoje zabezpieczenia i uniknie kolejnych problemów? Czy hakerowi z Piły ujdzie na sucho „motywowanie do działania” konsultantów spółki? Jakie konsekwencje poniosą podwykonawcy czy lekceważący komunikat Edisona konsultanci? Z czasem wszystko się wyjaśni.