dodany: 28.03.2013 | tagi: , ,

Autor:

Wpadka jednej z brytyjskich agencji wywiadowczych

0

Zdawałoby się, że istnieją na świecie agencje, po których można by się spodziewać poważnego traktowania spraw bezpieczeństwa dla wszystkich swoich działów, nawet tych mniej ważnych. Szczególnie jeśli co chwilę słychać o kolejnej rządowej agencji, która została skompromitowana na własne życzenie.

Brytyjski student, Dan Farral odkrył, że brytyjski sztab łączności rządowej (z ang.  Government Communications Headquarters, w skr. GCHQ) przesyła zapomniane hasła użytkownikom zalogowanym na stronach poświęconych karierze w GCHQ czystym tekstem.

GCHQ jest jedną z brytyjskich agencji wywiadowczych, która zajmuje się głównie wywiadem  sygnałowym i zabezpieczeniami [sic!] brytyjskiej komunikacji elektronicznej i przestrzeni cyfrowej.

Farrall w poście na swoim blogu napisał, że takie przechowywanie i przesyłanie danych wskazuje na to, że rodzaj informacji, które mogą w łatwy sposób wyciec może sprawić dużo więcej problemów niż zniszczona reputacja.

ZDNet postanowił dokładnie sprawdzić opisaną przez Farralla wpadkę i potwierdził, że hasła są faktycznie wysyłane w postaci czystego tekstu. ZDNet poszedł nawet o krok dalej i postanowił pobawić się z inżynierią wsteczną.

Oprócz podstawowych informacji strony wymagały podania numerów paszportów, powodów dla których chce się pracować w agencji, wymaganego doświadczenia na aplikowane stanowisko i kwalifikacji.

 

Niezła gratka dla niejednego wroga Wielkiej Brytanii

Farrell postanowił być dobrym obywatelem i zgłosił swoje odkrycie do GCHQ, niestety nie otrzymał żadnej odpowiedzi.

ZDNet postanowiło pchnąć sprawę dalej i zapytał oficjalnie agencję co myśli o odkryciu. GCHQ odpowiedziało, że obecny system, w którym aplikant wpisuje swoje dane jest przestarzały i agencja już zaczęła go wymieniać.

Ale pozostało pytanie: co z hasłami wysyłanymi do użytkownika czystym tekstem na jego adres e-mail?

GCHQ ma na to odpowiedź: Resetu kont dokonuje niewielki odsetek kandydatów. E-maile przychodzą z jasnymi instrukcjami, w jaki sposób chronić swoje dane.

No przecież! Logiczne, nie?

gchq-599x417

Zrzut ekranu redaktora ZDNet, Michaela Lee, który zresetował swoje konto i otrzymał e-mail, w którym specjalne instrukcje zawierają się w jednym zdaniu: Dla zachowania bezpieczeństwa zalecamy, abyś nie zapisywał i nie podawał swojego hasła osobom obcym.

 

Redaktor działu aktualności WebSecurity.pl. Z zamiłowania i wykształcenia pedagog. Propagatorka łączenia wolnego i otwartego oprogramowania i edukacji. Miłośniczka kawy, czekolady i książek psychologicznych.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *