#Aferamailowa: Wyciekł mail z hasłem do konta z ważnymi państwowymi danymi. Hasło wciąż działało!

Po zalogowaniu się do serwisu za pomocą danych ujawnionych w mailu można było zobaczyć szczegółową mapę portu wojskowego w Gdyni, plan ewakuacji Warszawy w razie powodzi oraz mapy Polski z wojskowymi nakładkami. Hasło zmieniono dopiero kilka godzin po publikacji.

Poufna Rozmowa od 2021 roku publikuje wykradzione maile ministra Michała Dworczyka, Daniela Obajtka (szefa PKN Orlen), byłego szefa Służby Kontrwywiadu Wojskowego Piotra Bączka i posła Joachima Brudzińskiego. Dotychczasowe ustalenia wskazują, że za włamaniem do skrzynek pocztowych polityków (czyli za tak zwaną aferą mailową) stoją służby białoruskie i rosyjskie. Jak wielokrotnie opisywaliśmy, korespondencja ta była publikowana przez rosyjskojęzyczne kanały na Telegramie oraz rosyjskie i białoruskie media. Niewątpliwie rosyjskie służby miały i mają do nich dostęp.

Mail do Rządowego Centrum Bezpieczeństwa

Jak wynika z najnowszej publikacji Poufnej Rozmowy, w lipcu 2020 roku mail z linkiem do prezentacji, zawierającej analizę danych dla przykładowej sytuacji kryzysowej, napisał Bogdan Z., pracownik ESRI Polska. To polski oddział amerykańskiej firmy, która jest właścicielem ArcGIS - działającego w chmurze oprogramowania do tworzenia map oraz analiz związanych z danymi geograficznymi. Z. w 2020 roku pełnił funkcję dyrektora Sektora Bezpieczeństwa i Administracji Centralnej w ESRI Polska. Jednocześnie był (i jest) instruktorem na Wojskowej Akademii Technicznej.

W mailu podał link do prezentacji, zamieszczonej właśnie na serwerze ArcGIS, oraz login i hasło dostępu do konta. Wysłał je w tej samej wiadomości, bez szyfrowania.

Mail ten zaadresował do Grzegorza Matyasika, zastępcy dyrektora Rządowego Centrum Bezpieczeństwa. RCB było prawdopodobnie jednym z klientów ESRI. Drugim adresatem korespondencji był Hubert Królikowski, ówczesny dyrektor Departamentu Analiz Obronnych w Kancelarii Prezesa Rady Ministrów.

Naruszenie procedur? Nikt nie zauważył

Jak wynika z opublikowanego na Poufnej Rozmowie zrzutu ekranu, to Matyasik przekazał korespondencję dalej, na prywatną skrzynkę mailową Michała Dworczyka. Dodał nawet informację, w jakiej przeglądarce internetowej należy otwierać link do prezentacji, by zadziałał. To stamtąd, ze skrzynki Dworczyka, mail został wykradziony, razem z tysiącami innych, na skutek włamań hakerów.

Mówi ona, że nigdy nie można podawać haseł dostępu bez szyfrowania, a tym bardziej w tej samej wiadomości z linkiem oraz loginem. Zlekceważono tę kwestię nawet w Rządowym Centrum Bezpieczeństwa!

Zaraz po piątkowej (5 maja 2023) publikacji internauci zaczęli sprawdzać, czy podane w mailu dane dostępu do konta na ArcGiS działają teraz, niemal trzy lata po wysłaniu korespondencji. Okazało się, że …tak! Jeszcze w piątek można się było zalogować do wskazanego konta oraz pobrać zgromadzone tam materiały. Przez trzy lata nikt nie zmienił hasła. Sprawdził to m.in. Dariusz Ćwiklak, dziennikarz „Newsweeka”. Ale zalogował się tam także informator OKO.press, który przesłał nam zrobione przez siebie zrzuty ekranu materiałów znalezionych w chmurze ArcGIS. Zasoby konta pokazała również, w kolejnej publikacji, Poufna Rozmowa.

Na liście klientów policja i wojsko

Niestety, na koncie znajdowały się naprawdę ważne dane, także dane rządowe, powiązane z instytucjami państwowymi.

Była tam zresztą dostępna lista tych klientów. Znajdowały się na niej między innymi:

• Rządowe Centrum Bezpieczeństwa,
• Komenda Główna Policji,
• Komenda Główna Straży Granicznej,
• Szefostwo Rozpoznania Geoprzestrzennego Wojska Polskiego,
• Dowództwo Komponentu Wojsk Specjalnych,
• Służba Wywiadu Wojskowego,
• Centralne Biuro Antykorupcyjne.

Wśród dostępnych w piątek materiałów znalazł się choćby bardzo szczegółowy plan portu wojennego w Gdyni, z oznaczeniem wszystkich znajdujących się na jego terenie obiektów, objaśnieniem ich funkcji, zaznaczeniem strefy bezpieczeństwa.

Schematy sieci energetycznych i mapy wojskowe

Były tam również:

1. Mapy z tzw. nakładkami wojskowymi, które umożliwiają nanoszenie wojskowych oznaczeń na istniejące plany;
2. Mapa z dokładnym schematem sieci energetycznej na terenie Gdańskiej Stoczni Remontowej;
3. Szczegółowe dane dotyczące pandemii koronawirusa – z informacjami o zgonach, zachorowaniach i liczbach ozdrowieńców w konkretnych dniach, z podziałem na województwa;
4. Mapa dworców kolejowych w Polsce;
5. Analiza na temat powodzi w Warszawie jako potencjalnej sytuacji kryzysowej – z prognozowanym ryzykiem powodziowym, zasięgiem fali powodziowej, wskazaniem zagrożonych obiektów i planem ewakuacji. To prawdopodobnie materiały przygotowane dla Centrum Zarządzania Kryzysowego.

Wiele z tych danych to dane istotne z perspektywy bezpieczeństwa państwa. Od momentu ich wykradzenia (a pierwsze włamanie na skrzynkę Dworczyka miało miejsce już we wrześniu 2020 roku) dostęp do nich był dla hakerów w pełni otwarty. Aż do teraz właściciel konta nie zorientował się, że hasło zostało wykradzione. Zmieniono je dopiero po publikacji maila na stronie Poufna Rozmowa.

W związku z tym incydentem wysłaliśmy pytanie do ESRI Polska. Czekamy na odpowiedź.

To kolejny dowód na złamanie procedur

To nie pierwszy przypadek, gdy wykradzione rządowe maile dowodzą, iż w polskim rządzie naruszano procedury bezpieczeństwa. W marcu opisywaliśmy, jak dzień po zaatakowaniu Ukrainy przez Rosję premier Mateusz Morawiecki przesłał oficjalną korespondencję dotyczącą pomocy wojskowej, o którą Ukrainą prosiła Polskę, na prywatną skrzynkę mailową Daniela Obajtka, prezesa PKN Orlen. Chodziło o dostawy paliwa z Polski na potrzeby ukraińskiego wojska. Premier przekazał ów mail bez żadnych zabezpieczeń, pomijając drogę służbową oraz kancelarię tajną PKN Orlen, zajmującą się m.in. danymi niejawnymi. Zrobił to, mimo iż w Polsce w tym czasie obowiązywał trzeci stopień zagrożenia o nazwie CHARLIE-CRP. Dotyczy on głównie zagrożeń w cyberprzestrzeni. Ogłasza się go, gdy istnieje realne prawdopodobieństwo wystąpienia ataków o charakterze terrorystycznym.

Wcześniej Poufna Rozmowa opublikowała korespondencję z 30 grudnia 2019 roku między Michałem Dworczykiem a premierem Morawieckim, także prowadzoną za pośrednictwem prywatnych skrzynek mailowych. Była to dyskusja na temat środków przeznaczonych na fundusz operacyjny Agencji Wywiadu. Szczegóły budżetów operacyjnych służb specjalnych to informacje ściśle tajne, objęte najwyższą klauzulą poufności. Nie można o nich dyskutować, posługując się niechronionymi kanałami komunikacji. Premier i jego minister zlekceważyli tę zasadę.

Natomiast w sierpniu 2021 roku Poufna Rozmowa opublikowała mail, w którym znajdował się dokument zatytułowany „Tabele propozycji projektów Solidarni z RB”, dotyczące rządowej pomocy na rzecz białoruskiej opozycji. W nagłówku dokumentu wpisano formułę: „Treść wrażliwa tylko do użytku wewnętrznego”. Mimo to także ten materiał był przesyłany bez jakichkolwiek zabezpieczeń.