Do kolegi, od którego zaczął się temat o tym, jak to Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego rozesłało pismo z literówką w adresie e-mail do zgłaszania „osób do nadzoru” (koronawirus) dostałem kolejną informację. Tym razem opisał mi rozmowę z koleżanką, która (współ)odpowiadała za przygotowanie informacji, o których mowa w piśmie (tym z literówką w adresie e-mail). Koleżanka (i jej koleżanki) rozumiała, że „faktycznie może to być problem”, choć głównie w kontekście ochrony danych osobowych i RODO. Może ma rację, może nie… Ale moim zdaniem to w tym przypadku akurat kwestie wycieku danych osobowych (imię i nazwisko, adres, numer telefonu, miejsce pracy, ryzyko zarażenia koronawirusem) to powinno być najmniejsze zmartwienie. Przynajmniej gdyby domena dostała się w niepowołane ręce…

Potencjalne zagrożenia wynikające z pomyłki w domenie adres e-mail

Na szczęście domena, w której znajdować się powinien adres e-mail do przesyłania zgłoszeń, została przez nas zarejestrowana i skierowana na serwer pocztowy, który nie zapisuje otrzymanych wiadomości, za to odpowiada wiadomością z informacją, że Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego rozesłało pismo z literówką w adresie e-mail do zgłaszania „osób do nadzoru”, i co ew. dalej w tym temacie robić.

I choć jak napisałem – wiadomości nie są na serwerze zapisywane, to jednak po logach serwera pocztowego widać, że błędny adres e-mail cieszy się dość sporą popularnością. I tak, z tego wynika, że potencjalnie moglibyśmy wejść w posiadanie danych osobowych, o których mowa w pierwszym akapicie. Ale tak jak również w pierwszym akapicie pisałem, to moim zdaniem najmniejszy problem.

Wyobraźmy sobie sytuację, że ktoś inny zarejestrował domenę, która błędnie została podana w adresie e-mail z informacją rozesłaną przez Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego do dyrektorów biur, dyrektorów szkół, przedszkoli, żłobków, instytucji kultury i sportu, szpitali, prezesów spółek miejskich i burmistrzów dzielnic. Mamy tu szeroki przekrój instytucji – od edukacyjnych, po urzędy… Do tego mamy adres e-mail uwierzytelniony przez oficjalne pismo, które zostało rozesłane do tych urzędów, które dodatkowo same mają „z tym adresem” się kontaktować.

Sytuacja wręcz idealna dla kogoś, kto chciałby uzyskać dostęp do komputerów w tych instytuacjach – czy to by wykraść dane, wykorzystać dostępy do kolejnych przekrętów, czy też podesłać szkodnika, który np. zaszyfruje wszystkie dyski i „zaproponuje” klucz do odszyfrowania w zamian „za skromną opłatę w Bitcoinach”.

Wystarczyłoby na każdy e-mail, który przyszedł na to konto odpowiedzieć z prośbą o wypełnienie dodatkowe dokumentu „z bonusem”. Co więcej – nawet jeśli jakaś instytucja nie wysłała żadnej wiadomości na ten adres, bo akurat u nich nie ma nikogo „do zgłoszenia” to wystarczyłoby napisać z uwierzytelnionego w piśmie błędnego adresu e-mail wiadomość z prośbą o… Siła autorytetu, zwłaszcza gdy w załączniku załączyć skan oryginalnego pisma z Urząd Miasta St. Warszawy, Biuro Bezpieczeństwa i Zarządzania Kryzysowego.

(!) Zgłoś błąd na stronie