Doszło do gigantycznego wycieku danych osób korzystających z serwisu informacyjnego „naTYCHmiastowy SMS”, którego dostawcą jest Urząd Miasta Tychy. Chodzi o ujawnienie ponad 5,7 tys. numerów telefonów! Uzyskali do nich dostęp cyberprzestępcy. Teraz należy spodziewać się wzmożonej fali oszustw z wykorzystaniem tych danych.
W dwutygodniku „Nowe Info” nr 10, który od 9 maja jest już w sprzedaży, w artykule „Groźny wyciek danych” szeroko omawiamy sprawę gigantycznego wycieku numerów telefonów osób korzystających z serwisu „natychmiastowy SMS” oferowanego przez Urząd Miasta Tychy. Zadaliśmy w tej sprawie władzom miasta kilka pytań. Odpowiedzi przyszły za późno by, ze względu na reżim druku, umieścić je w artykule. Dlatego prezentujemy je teraz, jako uzupełnienie lektury naszej gazety.
Ewa Grudniok, rzecznik prasowa UM Tychy, poinformowała nas, że usługa wysyłki powiadomień SMS składa się z dwóch niezależnych, ale zintegrowanych ze sobą elementów – portalu „naTYCHmiastowy SMS” oraz „bramki SMS” – zewnętrznej usługi (portal https://serwersms.pl), za pośrednictwem której odbywa się hurtowa wysyłka widomości SMS.
Operatorem „bramki SMS” jest, jak słyszymy, firma Vercom SA z Poznania, „w której to miał miejsce zaistniały incydent bezpieczeństwa”. SMS-y są wysyłane do subskrybentów zarejestrowanych w portalu „naTYCHmiastowy SMS” w zakresie wybranej przez nich kategorii wiadomości: info (informacje o mieście), kultura (koncerty, spektakle, wydarzenia), sport (wydarzenia sportowe), urzędowe (sprawy urzędowe).
– Dane subskrybentów, w tym numery telefonów, zgromadzone są w portalu „naTYCHmiastowy SMS”, natomiast do usługi zewnętrznej wysyłane są niezbędne dane – numery telefonów i treść wiadomości w celu realizacji hurtowej wysyłki wiadomości SMS – tłumaczy rzecznik UM Tychy. – Operator „bramki SMS” nie ma dostępu do danych zgromadzonych w portalu „naTYCHmiastowy SMS”. W portalu „naTYCHmiastowy SMS” zgromadzonych jest 25 319 numerów telefonów, numery telefonów są przekazywane na bieżąco do „bramki SMS” tylko w ramach realizowanych wysyłek wiadomości.
Zapytaliśmy o ilu ujawnionych numerach telefonów mówi „Komunikat w sprawie naruszenia bezpieczeństwa systemu „naTYCHmiastowy SMS” opublikowany 24 kwietnia 2023 roku na stronie internetowej Urzędu Miasta Tychy.
– Incydent w firmie Vercom SA dotyczył 5780 numerów telefonów
– odpowiedziała Ewa Grudniok. – Ujawnione zostały treści wiadomości dotyczące: wydarzenia miejskiego (wiadomość wysłana na 5780 numerów telefonów), powiadomień o terminie płatności podatku (wiadomość wysłana na 2 numery telefonów), weryfikacji użytkowników na portalu „naTYCHmiastowy SMS” (wiadomość wysłana na 2 numery telefonów).
Przypomnijmy, do ataku hakerów doszło między 12 a 14 kwietnia 2023 roku. Komunikat w tej sprawie, z ostrzeżeniem o możliwych próbach oszustw z użyciem skradzionych danych, opublikowano na stronie UM Tychy dopiero 24 kwietnia. Rzecznik UM Tychy zwłokę te tłumaczy następująco:
„W dniu 20 kwietnia 2023 roku o godzinie 17.43 Vercom SA poinformował Centrum Usług Wspólnych Miasta Tychy (CUW Tychy), który obsługuje Urząd Miasta Tychy w zakresie informatycznym, o zdarzeniu bezpieczeństwa. 21 kwietnia 2023 roku o godzinie 21.49 Vercom SA przekazał kolejne informacje na temat incydentu bezpieczeństwa. W dniach od 21 kwietnia 2023 roku do 23 kwietnia 2023 roku roku CUW Tychy we współpracy z Inspektorem Ochrony Danych Urzędu Miasta Tychy weryfikowali i kompletowali informacje niezbędne do analizy zdarzenia oraz jego skali, w tym potwierdzili liczbę ujawnionych numerów oraz treść korespondencji SMS. W poniedziałek 24 kwietnia 2023 roku, Administrator, tj. Prezydent Miasta Tychy, mając wystarczający stopień pewności co do wystąpienia zdarzenia i jego rozmiaru, formalnie stwierdził naruszenie, powiadamiając jednocześnie o incydencie Prezesa Urzędu Ochrony Danych Osobowych oraz subskrybentów usługi”.
Byliśmy ciekawi kto ponosi winę za ujawnienie numerów telefonów, jakie konsekwencje wyciągnięto (lub zamierza się wyciągnąć) wobec winnego oraz jakie kroki podjęto w celu zabezpieczenia się przez takimi zdarzeniami.
– Firma Vercom SA poinformowała, że w chwili obecnej może udzielić tylko informacji, że miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do fragmentu archiwalnej bazy danych zawierającej dane klientów – odpowiedziała rzecznik UM Tychy Ewa Grudniok. – Ze względów bezpieczeństwa oraz toczącego się postępowania w tej sprawie przed organami państwowymi, nie może udostępnić szczegółowych informacji na temat przebiegu zdarzenia, dlatego też nie jest możliwe ustalenie, kto ponosi winę za wystąpienie incydentu.
Urząd Miasta Tychy przekazał nam informacje, udostępnione przez firmę Vercom SA, dotyczące zastosowanych „po incydencie” środków zaradczych i zapobiegawczych:
„Działania tuż po incydencie
– Podatność w systemie wykorzystana do przeprowadzenia ataku została natychmiast zidentyfikowana i usunięta.
– Wymusiliśmy zmianę haseł na kontach klientów.
– Ograniczyliśmy możliwość logowania z nieautoryzowanych adresów IP poza tymi, które zidentyfikowaliśmy jako bezpieczne.
– Rozszerzyliśmy zakres monitoringu platformy, w szczególności monitoring live ruchu HTTP.
– Potwierdziliśmy brak naruszenia integralności danych klientów.
– Serwery zostały przeskanowane pod względem obecności złośliwego oprogramowania.
Działania w trakcie i na przyszłość
– Wdrożenie w systemie funkcjonalności umożliwiające anonimizację danych według indywidualnych parametrów (zakres, czas) per konto użytkownika.
– Wdrożenie systemu SIEM (security information and event management) dla wszystkich podsystemów usługi.
– Rozszerzenie i uszczegółowienie reguł systemu WAF (Web Application Firewall)
– Wdrożenie NIPS/NIDS (Network Intrusion Prevention / Detection System) do monitorowania ruchu sieciowego.
– Przeprowadzenie dodatkowych testów penetracyjnych systemu przez zewnętrzny i niezależny podmiot, który zakończy się uzyskaniem certyfikatu bezpieczeństwa.
– Przeprowadzenie sesji lessons learned oraz wprowadzenie modyfikacji do procedur bezpieczeństwa wynikających z zaistniałego incydentu.
– Przeprowadzenie szkolenia z zakresu nowych procedur bezpieczeństwa dla pracowników”.
Zachęcamy do kupienia dwutygodnika „Nowe Info” (np. wydania elektronicznego dostępnego tutaj). Publikujemy tam więcej informacji. Między innymi opisujemy na jakie niebezpieczeństwa ze strony oszustów narażone są osoby, których numery telefonów zostały ujawnione, i jak przeciwdziałać takiemu zagrożeniu. Ekspert ochrony danych przestrzega, że wyciek numeru telefonu jest równie groźny jak wyciek numeru PESEL.
A co z pozostałymi danymi z Wydziału Stanu Cywilnego, Podatków, Dowodów Osobistych. Na pewno te dane są chronione tak samo. Porażka.