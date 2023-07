W na wskroś cyfrowym świecie cyberbezpieczeństwo to absolutna podstawa. Można o nim jednak mówić latami i przypominać dzień w dzień… a i tak znajdą się przykłady rażącej wręcz niekompetencji. Dość zjawiskowy jej przypadek z ostatnich dni pochodzi ze Stanów Zjednoczonych.

Administrator umożliwił włamy na konta 3 tys. osób – wszyscy mieli to samo hasło

Szkoła Oak Park and River Forest High School w stanie Illinois powinna poszukać nowego administratora systemu – jeśli już tego nie robi. Ogromny incydent zaczął się ciekawie, bo od audytu bezpieczeństwa szkolnej sieci. Zwykle ma on poprawiać zabezpieczenia, a stało się dokładnie odwrotnie.

Przez bliżej niekreślony błąd dostawcy usług, wszyscy użytkownicy systemu – ponad 3 000 osób – stracili swoje dotychczasowe hasła. Ktoś wpadł więc na pomysł ich resetu. Tajne dane logowania uległy zmianie, wszyscy dostali nowe hasła… a tak właściwie hasło, bo administrator przyznał każdemu użytkownikowi identyczny ciąg znaków.

Kod "[email protected]!" jest nawet niezły – posiada dwa znaki specjalne i dużą literę. Jest jednak bezużyteczny, gdy wszyscy mają identyczne hasło, dodatkowo wysłane otwartym tekstem, w mailu do dużej grupy osób. Co gorsza, uczniowie mieli też banalne nazwy użytkowników, stworzone z ich imion i nazwisk.

Tak nie robi się resetu haseł

Incydent, który doprowadził to do ogromnej luki bezpieczeństwa, zgłosiła mediom Manning Peterson, matka jednego z uczniów szkoły. W przypadku Petersonów dziecko nie mogło zmienić przyznanego hasła na nowe, ale z łatwością zalogowało się na parę kont znajomych z klasy.

Z identycznym nowym hasłem wszyscy uczniowie mogli do woli buszować po kontach swoich kolegów i koleżanek. Były one połączone z systemem Google, a więc przegładzać można było maile, dane na Dysku Google, konwersacje w Google Chat, prezentacje multimedialne, pliki tekstowe, historię przeglądania czy lokalizacji – dosłownie wszystko, co było połączone ze szkolnym kontem lub wrzucone na nie.

Ogromnej gafy można zaś było bardzo prosto uniknąć. Standardowa procedura przy konieczności zmiany hasła wszystkich użytkowników wygląda następująco. Najpierw wymusza się wylogowanie wszystkich członków sieci z obecnych sesji. Przy kolejnym logowaniu uniemożliwia się zaś zwykłe używanie konta, jeśli dana osoba nie ustawi wpierw nowego, samodzielnie wymyślonego hasła.

