Eva Wolfangel z Die Zeit ujawnia szokuj?cy zakres wycieku: tysi?ce spotka? online z udzia?em ministerstw i firm z ca?ej Europy mog?o by? nara?onych na pods?uch.
Niedawne odkrycia dziennikarki Evy Wolfangel wskazuj?, ?e problem zwi?zany z bezpiecze?stwem platformy Cisco Webex jest znacznie powa?niejszy, ni? pierwotnie s?dzono. Po wcze?niejszych doniesieniach o luce umo?liwiaj?cej dost?p do spotka? online bez odpowiednich uprawnie?, nowe badania przeprowadzone we wspó?pracy z organizacj? Netzbegrünung pokazuj?, ?e tysi?ce poufnych wideokonferencji, w tym te prowadzone przez ministerstwa, mog?y zosta? pods?uchane.
Wyciek na szerok? skal?
Wolfangel, która ju? miesi?c temu zwróci?a uwag? na problem, w nowym raporcie ujawnia, ?e luki w Cisco Webex by?y wykorzystywane na szerok? skal?. Dziennikarka opisuje, jak podczas bada? uda?o si? jej uzyska? dost?p do wideokonferencji ró?nych ministerstw oraz firm z Niemiec, Holandii, W?och, Austrii, Francji, Irlandii, Danii i Szwajcarii. Wiele z tych spotka? nie by?o w ?aden sposób zabezpieczonych has?em, co umo?liwia?o ?atwe ich pods?uchiwanie.
W?ród instytucji, które mog?y by? nara?one na pods?uch, znajduj? si? takie podmioty jak BSI (Federalny Urz?d ds. Bezpiecze?stwa Informacji), Europol, miasto Monachium, firma ubezpieczeniowa Barmer, a tak?e w?oska firma obronna, niemiecka firma technologiczna, przedsi?biorstwo chemiczne oraz producent chipów.
?atwe do przewidzenia linki spotka?
Kluczowym elementem umo?liwiaj?cym nieautoryzowany dost?p do spotka? by?a sekwencja cyfr w adresach URL u?ywanych przez Webex. Jak wyja?nia Wolfangel, numery te mo?na by?o ?atwo odgadn?? przez proste dodawanie lub odejmowanie, co pozwala?o na przewidywanie kolejnych linków do spotka?. Dodatkowo, nie istnia?a skuteczna ochrona has?em, a wymagane numery telefonów mo?na by?o omin?? za pomoc? prostych testów.
Reakcja Cisco
W odpowiedzi na odkrycia, Cisco podj??o dzia?ania naprawcze. Firma poinformowa?a, ?e luka zosta?a zamkni?ta pod koniec maja 2024 roku, a 4 czerwca opublikowano zawiadomienie o bezpiecze?stwie na stronie internetowej. Cisco przyzna?o, ?e b??d móg? umo?liwi? nieautoryzowany dost?p do informacji o spotkaniach i metadanych w ramach ich infrastruktury w centrum danych we Frankfurcie. Firma podkre?li?a jednak, ?e problem zosta? “ca?kowicie” rozwi?zany na ca?ym ?wiecie.
Niewystarczaj?ce informacje dla poszkodowanych
Jednak mimo zapewnie? Cisco, Wolfangel zwraca uwag?, ?e nie wszystkie podmioty zosta?y w pe?ni poinformowane o potencjalnych zagro?eniach. Przyk?adowo, Ministerstwo Transportu i Spraw Cyfrowych zosta?o poinformowane, ?e nie by?o dotkni?te wyciekiem, co okaza?o si? nieprawd?, gdy? badania wykaza?y, ?e ??cznie 16 spotka? ministerstwa by?o dost?pnych w wyniku luki.
Podobnie, Narodowe Centrum Bezpiecze?stwa Cybernetycznego (NCSC) rz?du holenderskiego dowiedzia?o si? o problemie dopiero po zapytaniu od Zeit Online.
W li?cie sekretarz stanu rz?du Holandii Alexandra Van Nuffelen (D66) mówi, ?e uwa?a za “niedopuszczalne”, ?e wiadomo?ci o wycieku dotar?y do rz?du za po?rednictwem niemieckich mediów.
Czy zalecenia dotycz?ce bezpiecze?stwa powinny si? zmieni??
Chocia? nie ma dowodów na to, ?e z?o?liwi aktorzy faktycznie wykorzystali luk? w Cisco Webex, BSI nadal zaleca korzystanie z tej platformy przez w?adze federalne. W ?wietle nowych informacji, trwa obecnie analiza, czy te rekomendacje powinny zosta? zaktualizowane.
Incydent z Cisco Webex ujawnia g??bokie problemy zwi?zane z bezpiecze?stwem cyfrowym, które mog? wp?ywa? na organizacje na ca?ym ?wiecie. Sytuacja ta podkre?la konieczno?? sta?ego monitorowania i aktualizowania zabezpiecze? w narz?dziach do komunikacji online, aby zapobiec potencjalnym zagro?eniom i chroni? poufno?? informacji.
Dla w?adz i firm korzystaj?cych z cyfrowych platform komunikacyjnych jest to wa?na lekcja, by nie tylko polega? na domy?lnych ustawieniach bezpiecze?stwa, ale tak?e regularnie je weryfikowa? i aktualizowa?.
