Când parola "admin123" ajunge în mâinile greșite

Written By Rares Popa

Un deținut de la Penitenciarul Târgu Jiu a intrat în baza de date a sistemului penitenciar și a modificat conturi, pedepse și informații financiare. Incidentul a fost descoperit din întâmplare și a ajuns în presă abia zilele trecute, stârnind controverse despre modul în care Administrația Penitenciarelor a gestionat situația.

Ceea ce face povestea asta fascinantă nu e că s-a întâmplat ceva spectaculos din punct de vedere tehnic. E exact opusul – nu a fost nimic spectaculos. Un deținut a găsit o parolă care nu fusese schimbată din 2013 și a avut acces complet la sistemul informatic al penitenciarelor. Atât.

Doisprezece ani. În tehnologie, asta înseamnă câteva ere geologice.

Anatomia incidentului de securitate

Deținutul – condamnat pentru infracțiuni informatice și legat de o grupare de falsificatori din Italia – a fost transferat vara asta la Târgu Jiu. Undeva pe parcurs, probabil la Spitalul Penitenciar Dej, a văzut credențialele unui fost director care avea acces de administrator. Acel cont nu fusese actualizat din 2013.

La Târgu Jiu există infochioșcuri unde deținuții pot accesa sistemul pentru lucruri banale – să vadă solduri, să facă comenzi, să depună cereri. Cineva i-a dat bărbatului o tastatură fizică pentru a "facilita accesul". Cu acea tastatură și cu parola veche, s-a logat și a avut acces la tot.

A modificat conturi, a anulat comenzi astfel încât banii să revină în sold, a adăugat zerouri la sumele primite prin mandat poștal, a încercat să adauge numere de telefon peste limita permisă. Când a vrut să dea zile câștig altui deținut, acela s-a speriat și a anunțat autoritățile – pentru că, ironic, ar fi fost complice la o infracțiune și și-ar fi periclitat șansele la eliberare.

Întregul episod a durat săptămâni. Descoperirea a fost accidentală.

Ce e interesant aici

Nu sofisticarea atacului. Nu există nicio tehnică avansată, nicio exploatare de vulnerabilitate zero-day, nicio inginerie socială elaborată. E o poveste simplă despre un sistem în care:

Cineva avea o parolă din 2013. Doisprezece ani fără să fie schimbată. Nu pentru că era prost sau neglijent, ci pentru că probabil nimeni nu a verificat vreodată. Sistemul permitea asta, deci așa a rămas.

Acces de administrator pentru un cont nefolosit. Fostul director probabil nu mai lucra acolo de ani buni. Contul lui, însă, rămăsese activ, cu toate drepturile intacte. Nimeni nu și-a pus problema să dezactiveze accesul când persoana a plecat.

Un infochioșc cu tastatură fizică. Terminalele pentru deținuți sunt gândite pentru input limitat – nu pentru a naviga liber prin sistem. Dar cineva a decis că e mai simplu să ofere o tastatură, "ca să faciliteze". Și a facilitat cu adevărat.

Trei săptămâni de tăcere. După ce incidentul a fost descoperit, informația nu a fost transmisă rapid în sistem. Sindicaliștii spun că s-a încercat rezolvarea discretă. ANP spune că au luat măsuri imediat, dar nu au comunicat pentru că "structura de specialitate are acces la tot". Interpretări diferite, dar rezultatul e același: o perioadă lungă în care vulnerabilitatea putea continua în alte locuri.

De ce se întâmplă așa ceva

Nu e incompetență, e normalitate. Sună aspru, dar e adevărat. În orice organizație – stat, companie, instituție – există sisteme moștenite, conturi uitate, proceduri care "au funcționat până acum" și care nu sunt revizuite pentru că sunt sute de alte priorități.

ANP spune că aplicația a fost implementată în 2023 "pe repede înainte". Asta explică multe. Când implementezi rapid, testezi funcționalitatea, nu securitatea. Verifici dacă merge, nu dacă e vulnerabil. Și apoi, când merge, nimeni nu mai pune întrebări.

Parola din 2013 există pentru că sistemul vechi permitea parolele vechi. Probabil că acum, în 2025, nimeni nu mai știa că acel cont era încă activ. În baza de date exista, dar în realitate dispăruse din minte.

Tastatura a fost oferită pentru că "ajută". Și chiar ajută, până nu ajută.

Ce ar trebui să ne spună asta

Vulnerabilitățile nu sunt întotdeauna tehnice. Sunt organizaționale, procedurale, umane. Un sistem poate fi perfect securizat la nivel de cod, dar dacă:

  • Nimeni nu verifică periodic conturile active

  • Nimeni nu forțează schimbarea parolelor la intervale rezonabile

  • Nimeni nu restricționează fizic accesul la dispozitive care permit input liber

  • Nimeni nu comunică rapid când apar incidente

...atunci sistemul nu e securizat deloc.

Problema nu e că un deținut a fost deștept. Problema e că a fost posibil. Că toate condițiile erau puse – parola veche, contul activ, tastatura disponibilă, timpul necesar. Totul era pregătit, cineva trebuia doar să observe.

Și totuși

ANP insistă că "nu e o breșă majoră". Că modificările au fost minore, că au fost afectați maximum 10 deținuți, că paguba e de aproximativ 10.000 lei. Sindicaliștii vorbesc despre clonarea întregii aplicații, despre acces la filmări de intervenții, despre posibile liberări eronate.

Adevărul e probabil undeva la mijloc. Dar asta nu e cea mai importantă întrebare.

Întrebarea reală e: câte conturi din 2013 mai există în sistem? Câte parole vechi mai sunt active în alte instituții? Câte vulnerabilități similare stau acolo, neobservate, așteptând doar persoana potrivită într-un loc nepotrivit?

Incidentul de la Târgu Jiu nu e o anomalie. E un simptom. Unul care ne arată că uneori securitatea nu pică din cauza unui atac sofisticat, ci din cauza unei parole uitate timp de doisprezece ani.

Rares Popa
Previous

Atacuri „non-click” prin imagini (WhatsApp & altele) — ce trebuie să știe IMM-urile în 2025
Next

Doi ani de conversații cu antreprenori români: ce am învățat despre securitatea cibernetică