Sanepid: ujawniono e‑maile interesantów, zhackowano strony oddziałów
Sanepid ma powody do zmartwień. Serwis niebezpiecznik ujawnił dwie niepokojące informacje. W jednym z jego oddziałów doszło do naruszenia RODO i upublicznienia adresów e-mail interesantów, a przy okazji duża część witryn internetowych powiatowych Stacji Sanitarno-Epidemiologicznych zostało zhackowanych.
08.02.2021 | aktual.: 06.03.2024 21:44
Pierwszy przypadek to klasyczny błąd ludzki, który miał miejsce w Sanepidzie w Piotrkowie Trybunalskim. Wygląda na to, że pracownica placówki zapomniała o zaznaczeniu opcji UDW (ukryte do wiadomości) przy odpisanu na zapytanie dotyczące udzielenia informacji publicznej.
fot. Niebezpiecznik
Owszem, błąd był tutaj po stronie pracownika, ale nigdy nie zaistniałby, gdyby administracja informatyczna zastosowała mechanizm, który uniemożliwia odpisanie na wiadomość w ten sposób, albo wyświetlałby ostrzeżenie i wymagał dodatkowego potwierdzenia.
Druga niepokojąca sytuacja dotyczy przejęcia witryn powiatowych sanepidów. Ktoś dostał się do ich systemów i wgrał niepożądane treści - dziwne reklamy w języku rosyjskim.
Niebezpiecznik spekuluje, że intruzi wykryli błąd w konfiguracji CMS-a (systemu do zarządzania treściami na stronie), lub wykorzystał formularz wgrywania plików do wrzucenia rosyjskich treści. Sytuacja występowała przez dłuższy czas - najprawdopodobniej od listopada 2020.
