Začátkem června letošního roku byl oznámen masivní útok na servery amerického úřadu Office of Personnel Management (OPM), při kterém byla odcizena osobní data 4,2 milionu federálních činitelů. OPM spravuje data všech státních zaměstnanců vyjma vojáků, agentů tajných služeb či například kongresmanů. Mezi uniklými daty nechyběly vedle jména a adresy i vysoce citlivé informace, jako jsou čísla kreditních karet, výše platů, pojistek atp. Mimo to zmíněný úřad vydává bezpečnostní prověrky, jedná se tedy o obdobu našeho NBÚ.

Spojené státy z úniku dat neoficiálně obvinily Čínu, neboť stejně jako v případě loňského neúspěšného útoku na totožný cíl byl i ten letošní, vydařený, veden z čínských serverů. Nikoho asi nepřekvapí, že Peking daná nařčení rezolutně odmítá. Zde bych rád připomněl nedávný útok na společnost Sony Pictures vedený ze severokorejských serverů. USA tehdy rovněž obvinily tento nedemokratický stát, a to bez předložení jakýchkoli důkazů. Buď si jsou hackeři stojící za danými útoky sebou tak jisti, že neskrývají svoji identitu, nebo není vůle dopátrat se skutečných pachatelů, neboť současný stav více odpovídá západní propagandě.

Po několika dnech přišel prezident odborové organizace vládních zaměstnanců s tvrzením, že byla odcizena databáze všech současných, milionu bývalých a potenciálně nových federálních zaměstnanců. Podle vyšetřování FBI mohl útok postihnout až 18 milionů lidí. To nakonec po důkladném vyšetřování přiznalo i samotné OPM a všem poškozeným nabídlo na 18 měsíců zdarma služby společnosti CSID zabývající se ochranou před zneužitím soukromých dat.

Podíváme-li se zběžně na zabezpečení webových služeb úřadu OPM, zjistíme, že hlavní stránky jsou minimálně v současné chvíli chráněny kvalitně, to se ovšem nedá říci o více jak tuctu mnohdy neudržovaných či dokonce zapomenutých subdomén z minulých let. Tyto subdomény jsou o poznání hůře zabezpečené a i při nevinném oťukávání lze narazit na kritické zranitelnosti, jako jsou SQL Injection nebo Stored XSS. Na adrese listserv.opm.gov se nachází mailing list, kam se může zaregistrovat kdokoliv i mimo úřad OPM a sbírat tak nejen informace z interního prostředí, ale i kontaktní údaje zaměstnanců. Na fedscope.opm.gov se pro změnu nachází volně dostupná starší verze aplikace IBM Cognos pro tvorbu OLAP kostek nad databází všech federálních zaměstnanců do roku 2014. Pokud aplikace nepracuje nad anonymizovanými daty, pak i ona skýtá potenciální riziko. Navíc lze ve většině aplikací OPM vložit do vyhledávacího pole metaznak „%“, který se v databázi interpretuje jako libovolný řetězec a na výstup vrátí všechny řádky, které jsou v tabulce uloženy. I to by mohl být vektor útoku, jak se dostat k více než jednomu záznamu při vyhledávání osob. Ostatně, podobný trik funguje ve vyhledávacích polích i na stránkách rozličných českých úřadů.

Žádná webová aplikace není dokonale zabezpečena a o těch patřících zpravidla zkostnatělým státním institucím to platí dvojnásob. Nabízí se proto otázka, zda za útokem musela nutně stát vládou placená skupina hackerů, nebo se jen Spojené státy snaží skrýt svoji neschopnost zabezpečit vládní servery mediálně výživnějším příběhem o průmyslové špionáži cizího státu.

Závěrem připomeňme, že podobně masivní úniky citlivých dat nejsou ve světě ničím neobvyklým. Vloni došlo hned ke dvěma úspěšným útokům na vládní servery v Srbsku a Jižní Koreji, při kterých byly odcizeny národní databáze obyvatel obsahující nacionálie 80 % obyvatelstva těchto dvou států.

Ing. Martin Klubal Autor článku působí jako IT Security Consultant ve společnosti AEC, spol. s r.o.