Eva Wolfangel z Die Zeit ujawnia szokujący zakres wycieku: tysiące spotkań online z udziałem ministerstw i firm z całej Europy mogło być narażonych na podsłuch.
Niedawne odkrycia dziennikarki Evy Wolfangel wskazują, że problem związany z bezpieczeństwem platformy Cisco Webex jest znacznie poważniejszy, niż pierwotnie sądzono. Po wcześniejszych doniesieniach o luce umożliwiającej dostęp do spotkań online bez odpowiednich uprawnień, nowe badania przeprowadzone we współpracy z organizacją Netzbegrünung pokazują, że tysiące poufnych wideokonferencji, w tym te prowadzone przez ministerstwa, mogły zostać podsłuchane.
Wyciek na szeroką skalę
Wolfangel, która już miesiąc temu zwróciła uwagę na problem, w nowym raporcie ujawnia, że luki w Cisco Webex były wykorzystywane na szeroką skalę. Dziennikarka opisuje, jak podczas badań udało się jej uzyskać dostęp do wideokonferencji różnych ministerstw oraz firm z Niemiec, Holandii, Włoch, Austrii, Francji, Irlandii, Danii i Szwajcarii. Wiele z tych spotkań nie było w żaden sposób zabezpieczonych hasłem, co umożliwiało łatwe ich podsłuchiwanie.
Wśród instytucji, które mogły być narażone na podsłuch, znajdują się takie podmioty jak BSI (Federalny Urząd ds. Bezpieczeństwa Informacji), Europol, miasto Monachium, firma ubezpieczeniowa Barmer, a także włoska firma obronna, niemiecka firma technologiczna, przedsiębiorstwo chemiczne oraz producent chipów.
Łatwe do przewidzenia linki spotkań
Kluczowym elementem umożliwiającym nieautoryzowany dostęp do spotkań była sekwencja cyfr w adresach URL używanych przez Webex. Jak wyjaśnia Wolfangel, numery te można było łatwo odgadnąć przez proste dodawanie lub odejmowanie, co pozwalało na przewidywanie kolejnych linków do spotkań. Dodatkowo, nie istniała skuteczna ochrona hasłem, a wymagane numery telefonów można było ominąć za pomocą prostych testów.
Reakcja Cisco
W odpowiedzi na odkrycia, Cisco podjęło działania naprawcze. Firma poinformowała, że luka została zamknięta pod koniec maja 2024 roku, a 4 czerwca opublikowano zawiadomienie o bezpieczeństwie na stronie internetowej. Cisco przyznało, że błąd mógł umożliwić nieautoryzowany dostęp do informacji o spotkaniach i metadanych w ramach ich infrastruktury w centrum danych we Frankfurcie. Firma podkreśliła jednak, że problem został “całkowicie” rozwiązany na całym świecie.
Niewystarczające informacje dla poszkodowanych
Jednak mimo zapewnień Cisco, Wolfangel zwraca uwagę, że nie wszystkie podmioty zostały w pełni poinformowane o potencjalnych zagrożeniach. Przykładowo, Ministerstwo Transportu i Spraw Cyfrowych zostało poinformowane, że nie było dotknięte wyciekiem, co okazało się nieprawdą, gdyż badania wykazały, że łącznie 16 spotkań ministerstwa było dostępnych w wyniku luki.
Podobnie, Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) rządu holenderskiego dowiedziało się o problemie dopiero po zapytaniu od Zeit Online.
W liście sekretarz stanu rządu Holandii Alexandra Van Nuffelen (D66) mówi, że uważa za “niedopuszczalne”, że wiadomości o wycieku dotarły do rządu za pośrednictwem niemieckich mediów.
Czy zalecenia dotyczące bezpieczeństwa powinny się zmienić?
Chociaż nie ma dowodów na to, że złośliwi aktorzy faktycznie wykorzystali lukę w Cisco Webex, BSI nadal zaleca korzystanie z tej platformy przez władze federalne. W świetle nowych informacji, trwa obecnie analiza, czy te rekomendacje powinny zostać zaktualizowane.
Incydent z Cisco Webex ujawnia głębokie problemy związane z bezpieczeństwem cyfrowym, które mogą wpływać na organizacje na całym świecie. Sytuacja ta podkreśla konieczność stałego monitorowania i aktualizowania zabezpieczeń w narzędziach do komunikacji online, aby zapobiec potencjalnym zagrożeniom i chronić poufność informacji.
Dla władz i firm korzystających z cyfrowych platform komunikacyjnych jest to ważna lekcja, by nie tylko polegać na domyślnych ustawieniach bezpieczeństwa, ale także regularnie je weryfikować i aktualizować.