Włamania na pocztę Sejmu. WP: Krytyczne błędy, mogą się logować byli pracownicy

Na sejmową skrzynkę pocztową mogą się zalogować ludzie, którzy od dawna w Sejmie nie pracują - podaje WP. Dzięki temu mogą np. uzyskać dostęp do informacji z posiedzeń parlamentu. - Mając dostęp do jednej, można uzyskać dostęp do korespondencji prowadzonej przez szereg innych osób - mówi jeden z rozmówców portalu.
Zobacz wideo Jadwiga Emilewicz komentuje atak hakerski na Michała Dworczyka

W czerwcu poinformowano, że doszło do ataków hakerskich na skrzynki mailowe i konta w mediach społecznościowych polityków. Pierwszy o włamaniu na swoje konto poczty elektronicznej poinformował Michał Dworczyk. Materiały, które mają rzekomo pochodzić z tych włamań regularnie publikowane są w sieci. Niektóre z nich dotyczyły poufnych informacji m.in.o szczegółach uzbrojenia polskiej armii czy szczegółów negocjacji w zakresie obronności. Część wiadomości miała być korespondencją Dworczyka z premierem Mateuszem Morawieckim.

ABWAtak hakerski na pocztę Sejmu. ABW potwierdza

Na pocztę sejmową mogą się logować byli pracownicy

Wirtualna Polska podaje, że dwóch byłych pracowników Kancelarii Sejmu (zakończyli pracę kolejno w 2015 i 2018 roku) spróbowało się (w ramach testu) zalogować na swoje sejmowe skrzynki pocztowe przy użyciu dawnych loginów i haseł. Udało im się to zrobić. Oznacza to, że osoby, które nie pracują już na rzecz państwa, mogą wysyłać maile z domeny sejmowej i w ten sposób np. pozyskiwać informacje.

Takie osoby mogą się również zalogować na zdalne posiedzenia Sejmu, także te, które nie są transmitowane. Mają też wgląd do grup utworzonych przez administratora. - Login i hasło umożliwiające wejście do sejmowego systemu i proste podszywanie się pod osobę uprawnioną do uzyskiwania szczególnych informacji mają swoją wartość. Trafiliście na przyzwoitych ludzi, którzy sprawdzili system w trosce o państwo. Ale ja się zastanawiam, ile jest osób, które mogły sprzedać dostępy w zamian za pieniądze? - powiedział w rozmowie z dziennikarzami WP ekspert ds. cyberbezpieczeństwa, który chce pozostać anonimowy.

Brak zaawansowanych procedur uwierzytelniania

Rozmówcy portalu podkreślają również, że poziom zabezpieczeń sejmowych skrzynek pocztowych jest "gorszy niż przeciętnego banku w niewielkim mieście". "Kłopotem są serwery pocztowe, z których korzysta Sejm. Jedne z nich to XMail. "Zabytek" - mówią o nim nasi eksperci. "Najnowsza" wersja została wypuszczona w 2010 r. Od tego czasu nie jest też "łatana", gdy pojawią się luki umożliwiające uzyskanie nieautoryzowanego dostępu" - pisze Wirtualna Polska.

Portal informuje, że w wielu resortach wciąż nie stosuje się dwuskładnikowego uwierzytelniania. Tak miało być np. w Ministerstwie Zdrowia jeszcze do maja tego roku. Natomiast zaawansowane procedury uwierzytelniania stosują, jak twierdzą, resorty sprawiedliwości i obrony narodowej.

"DGP": Posłowie dostaną specjalne klucze

O dwuskładnikowe uwierzytelnianie WP zapytała Janusza Cieszyńskiego. "Zabezpieczenia stosowane w kontroli dostępu do służbowych skrzynek pocztowych w systemie KPRM realizowane są na kilku poziomach. Nie jest możliwe zalogowanie się do służbowej skrzynki pocztowej tylko przy znajomości identyfikatora i hasła. Ponadto, trwa proces modernizacji systemu komunikacji cyfrowej KPRM obejmującego pocztę elektroniczną, komunikację audio, wideo i czat oraz repozytoria plików" - odpowiedziano.

"Dziennik Gazeta Prawna" poinformował w środę, że członkowie rządu i parlamentarzyści dostaną specjalne klucze tzw. U2F, które służą do weryfikacji przy logowaniu m.in. do poczty elektronicznej i mają stanowić jej dodatkowe zabezpieczenie. Więcej można przeczytać w poniższym tekście:

SejmJest reakcja na aferę e-mailową. Klucze do uwierzytelniania poczty dla posłów

- Wycieki z poczty szefa KPRM Michała Dworczyka pokazały zresztą, że nie trzeba mieć dostępu do wszystkich skrzynek. Mając dostęp do jednej, można uzyskać dostęp do korespondencji prowadzonej przez szereg innych osób - powiedział jeden z rozmówców WP.

Więcej o: