Использование устаревшего пароля привело к раскрытию военных секретов Польши

Журналисты польского расследовательского издания «OKO.press» с удивлением для себя обнаружили , что по давно утекшему в Интернет паролю можно получить доступ к чрезвычайно конфиденциальной базе данных, содержащей детальные карты военного порта Гдыни, план эвакуации Варшавы в случае наводнения, а также прочую секретную информацию.

Три года назад сотрудник польского филиала американской компании ESRI , разработчика программного обеспечения для создания карт ArcGIS , отправил по электронной почте ссылку на презентацию, анализирующую один из кризисных сценариев в Варшаве, и указал логин и пароль для доступа к этой презентации, хранящейся в облачной базе данных ArcGIS.

Отправка пароля к высокочувствительной базе данных в открытом виде — это опасно уже само по себе. Однако журналисты OKO.press также выяснили, что пароль, который был отправлен ещё в 2020 году, оставался действительным, внимание, до 5 мая этого года. Это означает, что владельцы польского правительственного аккаунта в ArcGIS даже не знали о том, что их учётные данные на протяжении трёх лет находились в открытом доступе, а секретная информация, которая содержалась в системе, не раз могла эксплуатироваться злоумышленниками.

Согласно OKO.press, утекшее письмо также содержало массу других крайне секретных данных. Например, список клиентов ESRI, включая польские пограничные войска, полицию, спецназ, военную разведку и другие. Кроме того, любой, у кого был доступ к утекшему паролю, мог беспрепятственно ознакомиться с подробным планом военного порта города Гдыня с уникальными обозначениями объектов, расположенных там. Другие карты включали детальные схемы местной электросети и анализ потенциального кризиса (наводнения) в Варшаве.

Данный киберинцидент ещё раз подтверждает, что даже если вы не имеете отношения к правительству какой-либо страны и не храните высокочувствительной информации, пароли от сервисов, которыми вы пользуетесь, всё же необходимо регулярно менять. Также не стоит забывать про технологию 2FA , которая в большинстве случаев способна пресечь на корню любые попытки компрометации ваших личных данных.