V skladu z navodili SI-CERT za koordinirano razkrivanje ranljivosti objavljamo poročilo o odkriti ranljivosti in izpostavljenosti gesel pri AAI-računih.
AAI-račun uporabnikom omogoča dostop do različnih spletnih storitev z enotnim uporabniškim imenom. Na Arnesu smo 24. avgusta 2023 prenovili vizualno podobo AAI-prijave, pri tem pa spregledali, da smo posegli tudi v del programske kode, ki izvaja samo prijavo. Prišlo je do neželenega delovanja spletne aplikacije, ki je podatke o uporabniškem imenu in geslu do strežnika namesto v zahtevku POST posredovala s parametri v naslovu URL. Zaradi tega so se uporabniška imena in pripadajoča gesla zapisala v dnevniško datoteko spletnega strežnika na Arnesu ter v zgodovino brskalnika pri uporabniku. Posledica te napake je izpostavljenost in potencialna zloraba uporabniškega računa in gesla, še posebej tam, kjer več uporabnikov uporablja isti uporabniški profil na računalniku. Te napake na Arnesu žal nismo zaznali sami. O njej so nas 27. novembra 2023 obvestili iz Centra za metodologijo in informatiko FDV.
Na Arnesu smo 28. novembra 2023 izpostavljeno ranljivost potrdili za organizacije, ki AAI-račune gostijo na Arnesu in jih upravljajo s sistemom SIO.MdM. Varnostno luknjo na prijavnem obrazcu nove teme smo nemudoma odpravili. 29. novembra 2023 je zunanji izvajalec izvedel varnostni pregled AAI-prijave, na isti dan pa smo na Arnesu preventivno izbrisali problematične dnevniške zapise povezanih spletnih strežnikov. O ranljivosti je Arnes obvestil Nacionalni odzivni center za kibernetsko varnost SI-CERT in skladno s 33. členom Splošne uredbe o varstvu podatkov (GDPR) tudi Informacijskega pooblaščenca RS.
Na Arnesu smo v sodelovanju s SI-CERT preučili vse možne težave in načine zlorabe, ki bi lahko nastale kot posledica izrabe ranljivosti, in poskušali najti najprimernejše ukrepe za čim manjšo izpostavljenost gesel in posledično zlorab uporabniških računov.
30. novembra smo na Arnesu o izpostavljenosti gesel AAI-računov obvestili odgovorne osebe in informatike na organizacijah, ki AAI-račune gostijo na Arnesu, ter posameznike, ki so bili izpostavljeni pri prijavi z AAI-računi z domeno @guest.arnes.si, in jih pozvali, naj vsem uporabnikom takoj spremenijo gesla v sistemu SIO.MdM, oziroma si v primeru AAI-računov @guest.arnes.si gesla spremenijo v spletni pošti. Opomnik s pozivom za zamenjavo gesel smo na Arnesu odgovornim osebam, informatikom in posameznikom znova poslali 11. decembra 2023, v tednu od 11. do 15. decembra 2023 pa informatike na organizacijah tudi s telefonskimi klici opozarjali na zamenjavo gesel.
Organizacije in posameznike, ki gesel še vedno niso zamenjali, znova pozivamo, da to storijo v najkrajšem času, saj se vsak dan neukrepanja povečata možnosti izpostavljenosti gesel in incidentov, pri katerih se izkorišča kraja identitete in lažno predstavljanje. Priporočamo, da se pri menjavi gesla držite splošnih smernic za izdelavo varnega gesla: https://www.varninainternetu.si/spet-ta-gesla in obstoječih gesel ne uporabljajte ponovno. Če geslo, ki ste ga uporabljali za AAI-prijavo, uporabljate za dostop do drugih storitev, ga zamenjajte tudi tam. Tehnična vprašanja o spremembi gesel naslovite na e-naslov helpdesk@arnes.si. Zlorab izrabe ranljivosti do sedaj še nismo zaznali, ne moremo pa z gotovostjo vedeti, ali do njih ni prišlo.
Na Arnesu sta varnost in zasebnost vedno na prvem mestu, zato globoko obžalujemo nedavno odkrito ranljivost, ki je povzročila izpostavljenost gesel nekaterih AAI-računov. Za vsako neprijetnost ali težavo, ki jo je to povzročilo organizacijam in posameznikom, se iskreno opravičujemo. Hkrati se zahvaljujemo za izkazano razumevanje, potrpežljivost ter pripravljenost za sodelovanje pri ukrepih za izboljšanje varnosti. Posebno priznanje in zahvala gre organizaciji, ki nas je opozorila na ranljivost.
01 479 88 00
(delavniki, 8:00–16:00)
