Tūkstančiai nuorodų į slaptus Bundesvero pasitarimus
buvo prieinami internete kelis mėnesius — iki vakarykštės dienos
Focus: duomenys apie Bundesvero internetinius pasitarimus mėnesiais buvo viešai prieinami
Vokietijos gynybos ministerija
vėl leido nutekinti duomenis, rašo "Focus".
Šį kartą "nutekėjimo" mastai
sukrečia - bet kuris interneto vartotojas
vienu paspaudimu galėjo prieiti
prie tūkstančių vaizdo įrašų iš slaptų internetinių konferencijų.
Tūkstančiai nuorodų į uždarų Bundesvero pasitarimų
su vidine informacija vaizdo įrašus
buvo prieinami internete kelis mėnesius.
Kiekvienas norintis galėjo juos pamatyti.
Ši saugumo spraga buvo pašalinta tik penktadienio vakarą.
Sistemoje buvo aptiktos mažiausiai dvi silpnosios vietos.
Kol kas neaišku,
ar buvo nutekinta informacija pašaliniams asmenims.
Saugumo spraga, kurią Vokietijos ginkluotosiose pajėgose
aptiko "Netzgrünung" IT ekspertai,
yra didžiulė.
Keletas tūkstančių nuorodų į konferencijų vaizdo įrašus,
kai kuriuose iš jų buvo tarnybinės informacijos,
buvo prieinamos internete kelis mėnesius.
Daugelis šių susitikimų
netgi buvo klasifikuojami kaip konfidencialūs.
Apie tai praneša laikraštis "Zeit".
Konkrečiai,
kalbama apie nuosavą vietinę tarnybą WebEx
Vokietijos ginkluotosioms pajėgoms,
kurią Federalinė informacinio saugumo žinyba (BSI)patvirtino 2019 metais.
Paslauga laikoma ypač apsaugota — todėl ji tarnauja
slaptoms deryboms.
Bundesveras kas mėnesį rengia apie 45 000 susitikimų.
Bundesveras naudoja
taip vadinamą vietinę Webex versiją.
Tai reiškia, kad informacija saugoma savo serveriuose.
Tai ypač svarbu valdžiai.
Pasitelkę atrankos metodą,
užpuolikai sugebėjo atspėti nuorodas
į Bundesvero pasitarimų įrašus.
Tai rodo mažiausiai dvi silpnąsias vietas, praneša "Zeit".
Nuorodas į Bundesvero konferenciją
buvo galima atspėti tiesiog atliekant atranką.
IT saugumo srityje paprastai rekomenduojama
atsitiktinių imčių numerius interneto adresuose,
kad taip neatsitiktų.
Tačiau Vokietijos ginkluotųjų pajėgų atveju, matyt,
buvo galima sužinoti Bundesvero pasitarimų organizatoriaus pavadinimą, laiką ir laiką.
Balandžio 25 d. ryte įvyko pasitarimas,
pavadintas"Taurus raketų Etapinio plano apžvalga
ir darbo su juo pabaiga".
IT ekspertai taip pat aptiko
gegužės pabaigoje planuotą susitikimą,
kuriame bus aptariamas slaptas dokumentas
("tik tarnybiniam naudojimui")"skaitmeninis mūšio laukas".
Pirmasis susitikimas iš daugiau nei 6 000 "Die Zeit" rastų buvo surengtas 2023 m.lapkričio 2 d., tačiau, kaip teigiama, tinkle buvo daug kitų.
Kiekvienas norintis galėjo vienu paspaudimu pasiekti uždarus Bundesvero derybų kambarius
Be to, teigiama, kad asmeninius susitikimų kambarius buvo labai lengva rasti. Kai kurie iš jų net nebuvo apsaugoti slaptažodžiu arba buvo apsaugoti tik prieigos duomenimis, pvz., "Test".
Pokalbių kambariai yra vaizdo konferencijos su nuolatine nuoroda, kurias dažnai galima pasiekti bet kuriuo metu. Tyrimo metu" Zeit " galėjo pasiekti juos vienu paspaudimu.
Su jais susietus URL taip pat buvo lengva sujungti, nes visi jie buvo pagrįsti tuo pačiu principu. Tai taip pat leido prieiti prie ин Gerharco, Vokietijos karinių oro pajėgų vadovo, kuris dalyvavo pokalbyje apie Taurus tiekimą, kuris vėliau tapo Rusijos specialiųjų tarnybų nuosavybe, konferencijos.
Ar "Webex" pažeidžiamumas lėmė duomenų apie "Taurus" nutekėjimą?
Dabar kyla klausimas, ar "WebEx" saugumo sistemos pažeidžiamumai nesukėlė šio nutekėjimo. Iki šiol bundesveras priežastis vadino neapsaugotą telefono ryšį ir viešai pareiškė, kad perimtas susitikimas buvo atsitiktinis radinys.
2020 m. "WebEx" jau aptiko saugumo sistemos pažeidžiamumą, dėl kurio kažkas panašaus tapo įmanoma. 2020 metais IBM aptiko, kad taip vadinami vartotojai vaiduokliai gali nepastebimai užeiti į WebEx konferenciją. Tačiau nuo to laiko šis pažeidžiamumas buvo pašalintas.
Būtent taip, pasak oficialių šaltinių, pasielgė ir Bundesveras šiuo atveju.
"Pažeidžiamumai buvo nedelsiant pašalinti. Tačiau nežinoma, ar slapta informacija buvo nutekinta pašaliniams asmenims per šias spragas.
Į Die Zeit klausimą bundesveras tik atsakė,
kad buvo prieinami tik metaduomenys, bet ne pokalbių turinys.