Hlavní navigace

Ze systémů Evropského parlamentu unikla data o tisících úředníků

Sdílet

David Slížek 18. 5. 2020

Evropský parlament řeší velký únik dat. Databáze s údaji o 1 200 uživatelských účtech volených zástupců a 15 000 dalších zaměstnanců úřadů evropských institucích byla volně dostupná online. Píše o tom server Politico.

Databáze zahrnovala e-mailové adresy a zahashovaná hesla (není jasné, jaký algoritmus byl k hashování použitý). Na únik přišla indická bezpečnostní firma Shadowmap, která o volně dostupných datech informovala CERT tým Evropského parlamentu.

Údaje podle serveru unikly z webu na doméně europarl.eu spravovaného jednou z parlamentních frakcí, Evropskou lidovou stranou (EPP). Podle jejího mluvčího šlo o data ze starší verze webu z roku 2018. Od ledna 2019 frakce přešla na nový web. 

Uživatelům podle mluvčího nic nehrozí, protože na novém webu nemohou hesla z roku 2018 používat. Systém totiž vynucuje změnu hesla každé tři měsíce. EPP teď kontaktuje postižené uživatele, aby je o úniku dat informovala.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 18. 5. 2020 13:19

    Ravise

    > Systém totiž vynucuje změnu hesla každé tři měsíce.

    Takže namísto nadatlování "heslo12" je potřeba použít hlavu a přičíst (1 změna / 3 měsíce × 2 roky) = 8 a nadatlovat "heslo20"? :) Jsem zvědavý, kolik z rozlousknutých hesel bude ve formátu "heslo + pořadové číslo"...

  • 19. 5. 2020 17:25

    Ravise

    Ať už je minimální komplexnost hesla jakákoliv, dokud si neodlíváš otevřený tvar hesla ještě před hashováním, nezabráníš člověku udělat změnu z "SuPeRK()mplex­ní_Heslo1" na "SuPeRK()mplex­ní_Heslo2".
    A i když zakážeš přírůstek po jedné, budou lidi přičítat po dvou, po deseti, dají číslo mezi slova, prostě ti ten systém obechčijou. Měl bych to vědět, sám to - bohužel - dělám.

    Z čistě formálního hlediska pravidelná změna hesla nic bezpečnosti nepřináší. Když započteš lidi, co půjdou cestou nejmenšího odporu...

  • 19. 5. 2020 19:43

    Filip Jirsák

    Existují i hashovací algoritmy (pro ukládání hesel samozřejmě nevhodné), které podobný vstup hashují na podobný nebo stejný výstup – ty by naopak takovým drobným obměnám hesla mohly zabránit.

    Podle mne pravidelná změna hesla naopak bezpečnost snižuje. Protože to právě dříve či později lidi donutí jít cestou nejmenšího odporu a používat nějaké slabé heslo s předvídatelnou obměnou. Nechápu, jak to že se takový nesmysl tak dlouho drží v best practices. Je to krystalicky čistá ukázka toho, že někdo objeví problém, vůbec nezkoumá, jak je vážný, vymyslí si to nejjednodušší řešení a to zavede do praxe, aniž by se zabýval tím, jaké budou reakce na tohle řešení – a zda výsledek náhodou nebude horší, než před zavedením tohoto opatření. Jediný vektor útoku, před kterým pravidelná změna hesla chrání, je ten, že se někdo omylem dozví cizí heslo a dřív, než se na to přijde, dojde k časem vynucené změně hesla.

  • 19. 5. 2020 6:42

    BobTheBuilder

    Otázka je, proč vlastně nějaký web frakce má mít loginy a hesla, spíš by měli používat nějaký SSO systém a tohle by nehrozilo. Údaje, které server nemá, nemůžou ani uniknout.

  • 19. 5. 2020 7:47

    RM -RF (neregistrovaný) ---.ipv4.broadband.iol.cz

    A ty znas minimalni komplexnost hesel na tom novem webu?