Niektóre organizacje powstają z myślą o ekskluzywności. Działają wyłącznie na zaproszenie i zachowują dyskrecję – to miejsca, w których sam wykaz członków stanowi produkt.
Jedną z takich organizacji jest „Dialog” – ekskluzywna sieć założona przez miliardera i PayPal , Petera Thiela, do której należą między innymi obecny dowódca sił NATO, dwóch senatorów USA oraz sekretarz skarbu USA.
W zeszłym tygodniu dane setek tych użytkowników były dostępne w postaci zwykłego tekstu na stronie dystrybucji aplikacji, widoczne dla każdego, kto wiedział, jak kliknąć prawym przyciskiem myszy. Następnie firma Dialog poinformowała, że padła ofiarą ataku hakerskiego.
Strona rejestracji, która prowadziła bezpośrednio do plików członków
Strona została utworzona w celu udostępnienia aplikacji mobilnej wspierającej zbliżające się spotkanie sieci, która organizuje ekskluzywne imprezy. Każdy odwiedzający mógł zarejestrować się, podając dowolny adres e-mail. Nie wymagano podania hasła.
Po wysłaniu wiadomości e-mail użytkownik trafił na niemal pustą stronę przejściową, która – jak podano – ładowała pliki dotyczące około 200 znanych osób bezpośrednio do przeglądarki. Pliki te można było wyświetlić za pomocą „narzędzi wbudowanych w każdą popularną przeglądarkę”, co najprawdopodobniej odnosi się do wbudowanych narzędzi programistycznych przeglądarki.
Pliki te nie zawierały jedynie niezbędnych danych. Po załadowaniu formularzy ankietowych ujawniono daty urodzenia, dane kontaktowe w nagłych wypadkach, numery telefonów komórkowych, preferencje polityczne przypisane członkom przez Dialog, wewnętrzne rankingi i oceny oraz klucze cyfrowe służące jako dane logowania członków. W przypadku niemal wszystkich z nich ujawnione dane były wyczerpujące – od prywatnych danych kontaktowych po aktywne tokeny logowania.
W dokumentach wymieniono również obecnego urzędnika wywiadu Białego Domu, emerytowanego generała, który pełnił wysoką funkcję w amerykańskich służbach wywiadowczych, oraz szefów działów polityki bezpieczeństwa narodowego w dwóch wiodących firmach zajmujących się sztuczną inteligencją. Firma Dialog przyznaje również uczestnikom prywatne oceny, uwzględniając ich zamożność i znaczenie przy podejmowaniu decyzji dotyczących dopuszczenia, przydziału miejsc oraz ustalania cen. Oceny te znalazły się wśród informacji zawartych w publicznie dostępnym pliku HTML.
Dialog w defensywie
Dyrektor zarządzający firmy Dialog określił to włamanie jako atak hakerski
„dokonane przez znanego przestępcę, poszukiwanego w Stanach Zjednoczonych”.
Magazyn „WIRED”, który jako pierwszy ujawnił tę sprawę, nie znalazł żadnych dowodów na to, że konieczne było włamanie. Wygląda na to, że wystarczyło po prostu kliknąć link na stronie internetowej.
Formularze zostały utworzone przy użyciu Fillout, popularnego narzędzia do tworzenia formularzy online. Dane zostały zapisane w Airtable, powszechnie stosowanej platformie baz danych w chmurze. Firma Fillout oświadczyła, że nie ma wiedzy o żadnym naruszeniu bezpieczeństwa swoich systemów, i zaznaczyła, że to klienci są odpowiedzialni za konfigurację swoich formularzy, podłączonych źródeł danych oraz przepływów pracy.
Firma Dialog nie podała, kiedy ta nieprawidłowo skonfigurowana strona została po raz pierwszy udostępniona, co oznacza, że dane członków mogły być ogólnodostępne przez nieokreślony czas, zanim doszło do wykrycia tego błędu.
Błędna konfiguracja zabezpieczeń zajmuje obecnie drugie miejsce na liście OWASP Top 10 na rok 2025, czyli branżowym zestawieniu największych zagrożeń dla bezpieczeństwa aplikacji. W 2021 roku kategoria ta zajmowała piąte miejsce. Odpowiada ona za ponad 719 000 udokumentowanych luk w zabezpieczeniach.
Rozwiązanie jest również proste: twórz systemy zawierające wyłącznie te funkcje, których potrzebujesz, i skonfiguruj je w bezpieczny sposób.
Co to oznacza dla reszty z nas
Sposób, w jaki organizacje opisują incydenty, ma znaczenie wykraczające poza pojedyncze naruszenie bezpieczeństwa. Jeśli sam dostęp do informacji dostępnych publicznie będzie rutynowo określany mianem „włamania”, badacze zajmujący się bezpieczeństwem mogą stać się mniej skłonni do prowadzenia dochodzeń i odpowiedzialnego ujawniania narażonych systemów, co spowoduje, że błędy konfiguracji pozostaną niewykryte przez dłuższy czas.
Dla użytkowników końcowych ta zasada jest starsza niż sam internet. Jeśli jakaś organizacja gromadzi dane dotyczące Twojej daty urodzenia, osób kontaktowych w nagłych wypadkach oraz poufną ocenę Twojej wartości dla niej, zapytaj, gdzie te dane są przechowywane. Każda odpowiedź zawierająca sformułowanie „na naszej stronie internetowej” zasługuje na dodatkowe pytanie, a każda, która ogranicza się do stwierdzenia „bardzo poważnie traktujemy Twoje bezpieczeństwo”, zasługuje na dalsze dociekania.
