14 lutego Naczelna Rada Adwokacka (NRA) poinformowała osoby, których dane dotyczą o wycieku danych obejmujących około 10 000 adwokatów i aplikantów adwokackich z Izb Adwokackich w całej Polsce. Oprócz takich danych jak imiona, nazwiska czy numery PESEL, wyciekły również tzw. zahaszowane hasła członków samorządu zawodowego. Według oświadczenia NRA wyciek miał miejsce nie z infrastruktury NRA, a infrastruktury podmiotu współpracującego w zakresie obsługi IT.
Historia wycieku
26 grudnia organizacja hackerska ,,Fredens of Security” zamieściła w Internecie informację, że w wyniku przeprowadzonego cyberataku pozyskała ona dane dziesięciu tysięcy polskich adwokatów i aplikantów adwokackich, które następnie upubliczniła na platformie Telegram. Następnego dnia organizacja Cyberdefence24 zajmująca się cyberbezpieczeństwem poinformowała o sytuacji NRA, która następnie zawiadomiła o tym Prezesa Urzędu Ochrony Danych Osobowych (PUODO). W Walentynki o godzinie 20 zawiadomienie mailowe otrzymali prawnicy dotknięci wyciekiem.
Co wyciekło?
Pliki pozyskane przez hackerów miały pochodzić z 2021 roku i zawierać takie informacje jak: imię i nazwisko, nazwisko rodowe i hasz hasła do systemu obsługi adwokatury. Wyciekło 10 337 unikalnych imion i nazwisk, 9037 numerów PESEL i 2541 haszy haseł. Jakkolwiek znaczenie numeru PESEL jest jasne, warto pochylić się nad tym czym jest hasz hasła. Hasz to generowana podczas kontaktu na linii użytkownik-serwer liczba (w tym wypadku zapisana w systemie szesnastkowym), o której wartości decyduje treść hasła. Według doniesień, NRA wykorzystywała do generowania haszy ponad trzydziestoletni, przestarzały algorytm SHA – 1. Oznacza to, że odwrócenie procesu generacji hasza i uzyskanie hasła może być stosunkowo łatwe. Co ciekawe, Cyberdefence24 poinformował, że przeprowadził testy na losowej próbce 20 haszy – w 20% przypadków udało się odwrócić proces za pomocą narzędzi ogólnodostępnych w Internecie.
Źródło wycieku
Według oświadczenia NRA, źródłem wycieku nie była infrastruktura NRA. Wstępnie ustalono, że ofiarą ataku padła infrastruktura jednego z podmiotów współpracujących z NRA i przetwarzających dane adwokatów na podstawie umów powierzenia. Podmiot, którego dotyczył incydent, miał współpracować z NRA w zakresie budowy systemów informatycznych i w związku z tym przetwarzał dane, które zostały dotknięte wyciekiem.
Późne zawiadomienie
Według doniesień, adwokaci i aplikanci dotknięci naruszeniem zostali o nim poinformowani po prawie dwóch miesiącach od dnia, kiedy dowiedziała się o nim NRA. Rada tłumaczy, że opóźnienie wynikło z potrzeby analizy wyciekłych plików i identyfikacji osób dotkniętych wyciekiem. Ponadto pewne działania zostały podjęte przed poinformowaniem o wycieku, np. 9 stycznia zostały zresetowane hasła do systemu obsługi adwokatury.
Źródło:
https://cyberdefence24.pl/polityka-i-prawo/wyciek-danych-tysiecy-adwokatow-zrodlem-nie-bylo-nra