Włamanie do InPostu, skradziono m.in. hasła i dane osobowe

Firma InPost nie ma ostatnio zbyt łatwego życia. Do problemów finansowych oraz kłopotów z utrzymaniem jakości świadczonych usług firma może doliczyć kolejny: stała się celem hakerów. A przynajmniej jednego z nich, który swoim osiągnięciem postanowił pochwalić się na jednym z forów w sieci Tor.
Włamanie do InPostu, skradziono m.in. hasła i dane osobowe

Hakerowi, ukrywającemu się pod pseudonimem hackmachine, udało się pozyskać bazę danych firmy InPost. Na potwierdzenie zamieścił też plik zawierający część danych. Według specjalizującego się w tematyce bezpieczeństwa portalu Zaufana Trzecia Strona baza danych pochodzi prawdopodobnie z systemu E-ABI, który, jak na ironię, jest elementem obszaru ochrony danych osobowych. Baza zawiera kilka kategorii danych.

Wpis na forum w TOR gdzie autor ataku wyjaśnia co udało się pozyskać (fot. ZTS)

Pierwszą z nich są dane osobowe ponad 57 000 osób, w tym pracowników, współpracowników oraz osób uprawnionych do przetwarzania danych InPostu. Są to dane szczegółowe, zawierające PESEL, numer dowodu osobistego, adres, datę zatrudnienia. Sięgają one wstecz do 2009 roku. 2000 z tych rekordów posiada dodatkowo numer pracownika.

Drugi rodzaj danych to obszary współpracy z instytucjami, takimi jak policja, prokuratura czy urzędy celne. Znajdziemy tu więc np. sygnatury spraw czy znaczniki monitorowania przesyłek skierowanych do konkretnych użytkowników.

Dla dodatkowego potwierdzenia hackmachine zamieścił screenshot z panelu InPostu (fot. ZTS)

Ponadto w udostępnionej przez hakera bazie znajdują się też dane 140 użytkowników (nie wiemy czy nadawców, czy odbiorców), którzy są powiązani z paczkami wysłanymi 30 czerwca 2017. Dlaczego znajdują się oni w osobnej tabeli? Tego nie wiadomo.

Baza zawiera także listę kilkuset użytkowników niewiadomego systemu wraz z ich hasłami, podanymi otwartym tekstem. Poza tym znajdziemy tam także wszystkie dane dotyczące bezpieczeństwa wymagane przez ustawodawcę. Włącznie z opisem fizycznych zabezpieczeń biur InPostu.

Firma ustosunkowała się do sprawy w krótkim oświadczeniu:

Opisywana sprawa dotyczy incydentu z zakresu bezpieczeństwa danych naszych pracowników z połowy ubiegłego miesiąca. Co ważne, bezpieczeństwo danych naszych klientów nie zostało w jakikolwiek sposób naruszone. Incydent ten został zgłoszony na Policję, obecnie prowadzone jest śledztwo w sprawie podejrzenia popełnienia  przestępstwa więc o szczegółach nie możemy informować. Dział Bezpieczeństwa InPost niezwłocznie podjął odpowiednie działania zabezpieczające

Przyznajemy, że InPost ma trochę szczęścia w nieszczęściu. Gdyby sytuacja miała miejsce za kilka miesięcy, w 2018 roku, kiedy będą już obowiązywały nowe przepisy, na InPost mogłyby spaść wyjątkowo dotkliwe kary przewidziane w związku z RODO. | CHIP

Więcej:hakerstwo