Wyciek z serwerów Państwowej Komisji Wyborczej. Wyniki wyborów nie są zagrożone

19-11-2014, 10:15

Problemy z działaniem systemu informatycznego PKW, od niedzieli szeroko omawiane w mediach, ściągnęły na siebie uwagę nie tylko zawodowych informatyków i domorosłych specjalistów. We wtorek wieczorem redaktorzy Niebezpiecznika otrzymali e-mail zawierający 270 rekordów wykradzionych z bazy danych Państwowej Komisji Wyborczej.

Jak podaje Niebezpiecznik, włamywacze podpisujący się jako „Gandzia dla Palacza” & „Pendolino Team” pozyskali m.in. imiona i nazwiska pracowników Państwowej Komisji Wyborczej i Krajowego Biura Wyborczego oraz firm świadczących usługi informatyczne na rzecz tych instytucji, ich adresy e-mail (przede wszystkim służbowe, w domenach poczta.kbw.gov.pl, kbw.gov.pl, pkw.gov.pl, eo.pl oraz npc.pl), loginy i hasła zahashowane algorytmem MD5.

Słaba funkcja skrótu użyta do przechowywania hasha hasła oznacza, że osoby, które wykradły bazę, pewnie już połamały część haseł - ostrzegają redaktorzy Niebezpiecznika, wyrażając nadzieję, że pracownicy PKW i KBW nie popełnili najczęstszego błędu i nie korzystali z tego samego hasła także w innych miejscach. Jakkolwiek by było, wszyscy powinni natychmiast zmienić swoje hasła. To samo zaleca zresztą PKW.

W chwili pisania tego artykułu na stronie Państwowej Komisji Wyborczej nie było jeszcze żadnej informacji na temat włamania. Z oświadczenia, które PKW przesłała do redakcji Niebezpiecznika, można się jednak dowiedzieć, że:

1) Uzyskano nieautoryzowany dostęp do baz danych strony internetowej www.pkw.gov.pl
2) Strona www.pkw.gov.pl pracuje w INNEJ sieci niż system wyborczy. Wyniki wyborów nie są w żaden sposób zagrożone.
3) PKW podjęła niezbędne środki ostrożności w postaci zablokowania dostępu do sieci PKW z zewnątrz. Polecono natychmiastową zmianę haseł wszystkich pracowników.
4) Ograniczono dostęp do strony zliczającej wybory wyłącznie do sieci wewnętrznej do momentu zmiany wszystkich haseł w systemach PKW.
5) Poinformowano Agencję Bezpieczeństwa Wewnętrznego o wykryciu incydentu.
6) Liczenie głosów trwa i odbywa się niezależnie od uzyskania nieuprawnionego dostępu do strony www.pkw.gov.pl.

Na szczególną uwagę zasługuje pkt 2 - Państwowa Komisja Wyborcza zapewnia, że strona, która uległa włamywaczom, pracuje w innej sieci niż system wyborczy, dlatego wyniki wyborów nie są w żaden sposób zagrożone.

Inaczej mówiąc, problemy z działaniem systemu informatycznego PKW, o których informowaliśmy bezpośrednio po wyborach i wczoraj, nie mają nic wspólnego z opisywanym wyżej wyciekiem. Usterki opóźniające zliczanie głosów sprowokowały Najwyższą Izbę Kontroli do wydania zapowiedzi przeprowadzenia audytu mającego ustalić, czy system został zbudowany w sposób zgodny z prawem, rzetelny, celowy i gospodarny. Dziennikarze wyrażają co do tego sporo wątpliwości, podpierając się autorytetem zawodowych informatyków.

Dość często cytowana jest np. opinia Marka Małachowskiego, programisty i dyrektora ds. technologii w Grupie Manubia, opublikowana pierwotnie na Facebooku. Twórca tego programu to początkujący programista. W zasadzie każdy błąd, jaki można popełnić w kodzie, został popełniony - grzmi Małachowski. Skąd taki wniosek? Cóż, w serwisie GitHub został udostępniony kod zdekompilowanego Kalkulatora Wyborczego przeznaczonego dla Komisji Obwodowych. Każdy może go sobie przeanalizować.

Odpowiednie wątki pojawiły się już w takich serwisach, jak Daily WTF i Reddit, choć za granicą nie wszyscy zdają sobie sprawę z tego, że Polacy nie mają jeszcze możliwości elektronicznego oddawania głosów.


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy