Dane sędziów i prokuratorów są co do zasady dosyć dobrze chronione, szczególnie z uwagi na charakter pełnionej funkcji. Okazuje się jednak, że nawet z państwowych instytucji mogą wyciec wrażliwe informacje. Kto jest odpowiedzialny za tak poważny wyciek danych osobowych?
Wyciek danych sędziów i prokuratorów
Sekurak informuje, że nastąpił wyciek danych osobowych polskich sędziów, prokuratorów, aplikantów, kuratorów, a także pracowników sądów i administracji. Incydent dotyczy platformy szkoleniowej Krajowej Szkoły Sądownictwa i Prokuratury (KSSiP). Zakres danych jest bardzo szeroki, podobnie jak liczba rekordów – nieoficjalnie mówi się o 50 000 „poszkodowanych”, jak podaje ithardware.pl.
Dane, które wyciekły z KSSiP-u, to imiona i nazwiska, numery telefonów, ale także miejsca zamieszkania i e-mail, hasła (w postaci zaszyfrowanej), a także numery PESEL, które wpisano do dnia 21 lutego 2020 roku do systemu szkoleniowego.
Osoby, których dane dotyczą, otrzymały drogą mailową stosowne komunikaty.
KSSiP poinformował, że doszło do kradzieży danych osobowych z serwerów. Platforma posiada dane sędziów, prokuratorów, aplikantów i pracowników sądów (asystentów, administracji), kuratorów. Zbierano różne dane w tym miejsce zamieszkania, ale np. również nr IP, telefony. pic.twitter.com/awX3M09lw8
— Jakub Pawłowski (@jakubpawlowski_) April 13, 2020
Sytuacja jest poważna i – trzeba o tym jasno mówić – gorsza w zakresie potencjalnych skutków, aniżeli w odniesieniu do innych, podobnych zdarzeń.
Potencjalne skutki
Trzeba bowiem zaznaczyć, że dane dotyczą kluczowych dla funkcjonowania państwa przedstawicieli władzy sądowniczej, a także funkcjonariuszy państwowych, jak prokuratorów, czy pracowników sądów. Dane sędziów i prokuratorów są chronione w sposób szczególny, nie tylko z uwagi na wagę pełnionej funkcji, ale z powodu konieczności zapewnienia bezpieczeństwa konkretnym osobom.
Zastanawia także przyczyna wycieku. Według analizy Sekuraka można założyć, że do incydentu prawdopodobnie przyczyniła się nieodpowiednio przeprowadzona migracja systemu platformy szkoleniowej.
Nie wiadomo kto jest autorem wycieku, czy dane zostały w jakiś sposób zgromadzone i udostępnione (nieoficjalnie podaje się, że tak), a także, czy jest to efekt swoistej zabawy i wykorzystania nieodpowiednich zabezpieczeń, czy działanie w jakimś stopniu wycelowane w konkretne dane.
Żadne dane nie są stuprocentowo bezpieczne
Nie jest również wykluczone, że same dane zostaną wykorzystane w nieodpowiedni sposób. Baza danych pokaźnej liczby polskich sędziów, prokuratorów, czy pracowników sądów, w skład których wchodzą prawdopodobnie również miejsca zamieszkania (co nie jest równoznaczne z konkretnym adresem, czego nie można jednak wykluczyć), mogą być w pewnych kręgach atrakcyjne.
Zdarzenie pokazuje, że nawet kluczowe państwowe instytucje (a do takich z pewnością KSSiP należy) mogą paść ofiarą wycieku danych, który – co wydaje się wynikać z pierwszych analiz – wcale nie musiał zostać poprzedzony skomplikowanym atakiem, a wyniknął raczej z niedopatrzenia podczas migracji platformy szkoleniowej, czy też zwykłej nieuwagi.
Mam nadzieję, że skala wycieku jest w rzeczywistości znacznie mniejsza od tego, co udaje się ustalić nieoficjalnie, a także, że dane nie zostaną wykorzystane w sposób bezprawny. Wszak chodzi tutaj bezpośrednio o przedstawicieli wymiaru sprawiedliwości, czy organów ścigania.