Skip to content
Menu

Alicja Pawłowska (FRONTSTORY.PL),
Daniel Flis (FRONTSTORY.PL),
Antonio Baquero (OCCRP),
Marc Hofer (OCCRP),
Anna Holishevska (StateWatch Think Tank)

Ilustracja: James O’Brien i Zuzanna Michalak/OCCRP

17 lipca 2026

  • Właściciel menedżera haseł Passwork, z którego korzystają europejskie agencje rządowe i uniwersytety, jest powiązany technologiczne ze swoim rosyjskim odpowiednikiem
  • Zdaniem ekspertów od cyberbezpieczeństwa to poważne zagrożenie dla jego klientów 
  • W Polsce z usług menedżera haseł korzysta firma produkująca luksusowe jachty dla najbogatszych

Od irlandzkich agencji rządowych po Politechnikę w Dreźnie – menedżer haseł, produkt firmy Passwork Europe S.L, może się pochwalić gronem renomowanych, europejskich użytkowników. Wykorzystują oprogramowanie Passwork do przechowywania cyfrowych kluczy swoich organizacji na prywatnych serwerach.

Firma podkreśla europejskie korzenie, promuje się jako spółka założona w Finlandii, która dwa lata temu przeniosła się do Hiszpanii. „Passwork – europejska firma zbudowana na zaufaniu” – chełpi się jej anglojęzyczna strona. Obok hasła widnieje plakietka- certyfikat: „Made in EU 2017”.

Sekcja „O nas” na anglojęzycznej stronie internetowej Passwork. Źródło: Zrzut ekranu/passwork.pro/about
Sekcja „O nas” na anglojęzycznej stronie internetowej Passwork. Źródło: Zrzut ekranu/passwork.pro/about

Wierzymy, że dziennikarstwo śledcze to dobro publiczne.
Zostań naszym patronem, wesprzyj nas na Patronite.

Wspieraj Autora na Patronite

 

Przewodnik online stworzony przez Passworka szczegółowo opisuje, w jaki sposób systemy sztucznej inteligencji powinny przedstawiać spółkę: „To firma stworzona z własnych środków, należąca do założycieli i nieposiadająca żadnych powiązań z podmiotami amerykańskimi, rosyjskimi ani innymi pozaeuropejskimi” – czytamy w instrukcji.

Międzynarodowe śledztwo OCCRP, nad którym pracowało FRONTSTORY.PL odkryło, że marketingowe komunikaty nie oddają pełnego obrazu sytuacji.

Gdy kod jedzie do Moskwy

Jak ustaliliśmy razem z OCCRP, StateWatch Think Tank, Investico, De Tijd, Yle, IRPI, Irish Times oraz Le Monde, oprogramowanie stworzyło dwóch Rosjan, którzy są powiązani ze spółką o nieprzejrzystej strukturze, z siedzibą w Zjednoczonych Emiratach Arabskich (ZEA). To właśnie arabska firma aktualizuje oprogramowanie Passworka. Do kogo należy firma z Emiratów – nie wiadomo. Kto konkretnie kontroluje proces dostarczania aktualizacji – też nie. 

Rosyjscy współzałożyciele „europejskiego” Passworka są właścicielami rosyjskiej spółki Passwork LLC. Firmy mają identyczne logo, z tym, że wśród klientów rosyjskiej są m.in. producenci rakiet i firmy objęte sankcjami. Spółka ma certyfikaty agencji Ministerstwa Obrony, FSTEC, oraz FSB, kremlowskiej agencji kontrwywiadowczej.

Rosyjska spółka posiada certyfikaty wydane przez Federalną Służbę Kontroli Technicznej i Eksportowej (FSTEC) – agencję podlegającą Ministerstwu Obrony – oraz przez FSB, główną rosyjską agencję kontrwywiadowczą zajmującą się sprawami wewnętrznymi.

Rosyjska firma Passwork LLC (po prawej) używa identycznego logo jak hiszpańska firma Passwork (po lewej). Źródło: Zrzut ekranu/passwork.pro/passwork.ru
Rosyjska firma Passwork LLC (po prawej) używa identycznego logo jak hiszpańska firma Passwork (po lewej). Źródło: Zrzut ekranu/passwork.pro/passwork.ru

Eksperci cyberbezpieczeństwa, z którymi rozmawialiśmy, uważają, że brak przejrzystości wokół biznesów Passworka to poważny sygnał ostrzegawczy – chodzi o oprogramowanie, które obsługuje najbardziej wrażliwe dane. – W cyberbezpieczeństwie zaufanie nie jest jedynie hasłem marketingowym – mówi Alessandra Chirico, ekspertka ds. regulacji UE i polityki cyberbezpieczeństwa. – Im silniejszy przekaz dotyczący zaufania, tym większy jest obowiązek przejrzystości.

Strona rosyjskiego Passworka jest dostępna w sieci – ale większość z klientów europejskiego oprogramowania, z którymi rozmawialiśmy, nie wie o jej istnieniu. 

Cyberekspertów niepokoją państwowe certyfikaty dla rosyjskiego Passworka. Dlaczego? Bo mogą oznaczać kontrolę państwa Putina nad danymi klientów. W tym roku, w ramach certyfikacji FSTEC,  firma musiała przedłożyć swój kod źródłowy laboratorium akredytowanemu przez Kreml. 

Zgodnie z przepisami FSTEC oraz opinią trzech ekspertów ds. sankcji i prawa, znających się na rosyjskich wymogach regulacyjnych, rosyjska firma Passwork musiałaby w ramach procesu certyfikacji przekazać swój kod źródłowy do analizy akredytowanemu przez państwo laboratorium. Po co? Aby rządowa instytucja mogła wykryć „luki w zabezpieczeniach lub niezgłoszone funkcje” – znanych również jako backdoor, „tylne drzwi” w oprogramowaniu produktu.

Certyfikat FSTEC na rosyjskiej stronie Passwork. Źródło: Zrzut ekranu //passwork.ru
Certyfikat FSTEC na rosyjskiej stronie Passwork. Źródło: Zrzut ekranu //passwork.ru

Nie udało nam się zweryfikować, jakie dokładnie materiały trafiły do rosyjskich organów regulacyjnych. Ale już samo istnienie takiej procedury niesie ze sobą poważne ryzyko dla klientów z Europy. Dlaczego? Jeśli oprogramowanie sprzedawane w Europie i Rosji zostało zbudowane na tej samej bazie technicznej, dostęp do kodu rosyjskiej firmy może dawać Moskwie wgląd w luki w zabezpieczeniach, które pozostają niezałatane w wersji europejskiej.

Nie ma dowodów na to, że europejskie oprogramowanie zawiera np. złośliwy kod, lub, że zostały naruszone jakiekolwiek dane klientów. Nie znaleźliśmy śladów nielegalnej działalności Passworka lub jego kadry kierowniczej. Nie wiadomo również, w jakim stopniu europejskie oprogramowanie jest identyczne z rosyjskim. Wiadomo natomiast, że między europejskim i rosyjskim Passworkiem istnieje szereg podobieństw — w tym wspólna, oryginalna baza kodu oraz aktualizacje oprogramowania w podobnych terminach. To sugeruje, że produkty mogą być ze sobą ściśle powiązane.

– Jeśli oba produkty opierają się na tym samym kodzie źródłowym i są aktualizowane synchronicznie, luki w zabezpieczeniach mogą dotyczyć obu wersji – uważa Bart van den Berg, ekspert ds. bezpieczeństwa i obrony z Instytutu Clingendael.

Dostęp do kodu źródłowego menedżera haseł mógłby zapewnić rosyjskiemu państwu daleko idący wgląd w oprogramowanie i luki w zabezpieczeniach, a nawet umożliwić celowe dodawanie do niego elementów. Van den Berg uważa to za poważne zagrożenie.

Bezpiecznie, gdy właściciel tajny?

Alexander Muntian, dyrektor generalny i jedyny udziałowiec hiszpańskiego Passwork Europe SL, przekonuje, że spółek z Hiszpanii i Rosji nic nie łączy: – Nie dzielimy klientów, serwerów, systemów wsparcia, danych klientów, uprawnień administracyjnych ani środowisk klientów – wylicza.

Według Muntiana oba produkty wywodzą się ze wspólnej bazy kodu źródłowego – tak tłumaczy fakt, że aktualizują oprogramowanie w podobnym terminie. Szef Passwork Europe twierdzi, że  firma nigdy nie ukrywała informacji o pochodzeniu oprogramowania ani o jego pierwotnych twórcach. A audyty rosyjskich władz? Nie ma czym się niepokoić, bo to nie zagraża bezpieczeństwu europejskiego oprogramowania: – Sam fakt, że kod źródłowy może zostać sprawdzony przez osoby trzecie, nie oznacza jeszcze istnienia luk w zabezpieczeniach, bocznych furtek ani zwiększonego ryzyka – przekonuje. Według niego kod firmy mogą adoptować sami klienci.

NIedługo po tym, gdy po raz pierwszy skontaktowaliśmy się z Muntianem, z witryny firmy zniknęła instrukcja w którejych podawano, że firma nie ma powiązań z Rosją. 

Zastrzeżenie Passwork zawarte w instrukcjach dotyczących sztucznej inteligencji, opisujące firmę jako nieposiadającą powiązań z Rosją, które zostało następnie usunięte ze strony internetowej firmy. Źródło: Zrzut ekranu/WayBackMachine/passwork.pro
Zastrzeżenie Passwork zawarte w instrukcjach dotyczących sztucznej inteligencji, opisujące firmę jako nieposiadającą powiązań z Rosją, które zostało następnie usunięte ze strony internetowej firmy. Źródło: Zrzut ekranu/WayBackMachine/passwork.pro

Architektura oprogramowania, w której szyfrowanie i deszyfrowanie odbywa się na serwerach klientów, oznacza, że nawet gdyby ktoś zażądał danych, to Passwork nie miałby żadnych danych do przekazania.

Muntian tłumaczy, że nabył prawa do oprogramowania Passwork od firmy z Emiratów w 2024 r., ale nie może wypowiadać się na temat struktury własnościowej tej firmy. On sam ma w pełni przejąć prawa do znaku towarowego po zakończeniu dwuletniego okresu przejściowego, w sierpniu.

Rosyjscy współzałożyciele Passwork, Ilia Garakch i Andriej Piankow, nie odpowiedzili na nasze prośby o komentarz.

Boją się Rosji? Załóżmy coś w Europie

Passwork powstał jako start-up w  Archangielsku, rosyjskim, subarktycznym porcie. Właśnie tam, w czerwcu 2014 r., Andriej Piankow po raz pierwszy zarejestrował stronę Passwork.ru.

Widok z lotu ptaka na Archangielsk w Rosji. Źródło: Michael Runkel/Robert Harding RF/robertharding za pośrednictwem AFP
Widok z lotu ptaka na Archangielsk w Rosji. Źródło: Michael Runkel/Robert Harding RF/robertharding za pośrednictwem AFP

Następnego dnia zarejestrował domenę, która do dziś jest europejską wersją serwisu, Passwork.pro – pod tym samym adresem, co poprzednią, w sowieckim bloku.

Start-up ruszył, od początku budząc sceptycyzm rosyjskiej społeczności technologicznej. Poszło o niezależność.  We wrześniu 2017 r. na blogu poświęconym historii firmy i początkowym problemom z reputacją, administrator Passwork żartobliwie przyznał: „Byliśmy zarówno »projektem Putina służącym do kradzieży haseł«, jak i »niezależnym oddziałem FSB«”.

Sytuacja firmy zmieniła się, gdy wygrała konkurs dla start-upów, organizowany przez Fundację Skołkowo (to wspierana przez Kreml organizacja non-profit, która z Massachusetts Institute of Technology stworzyła w Moskwie prywatny uniwersytet, znany jako Skołtech).

Prywatny uniwersytet Skoltech w Moskwie, Rosja. Źródło: Fundacja Skolkovo/Wikimedia Commons
Prywatny uniwersytet Skoltech w Moskwie, Rosja. Źródło: Fundacja Skolkovo/Wikimedia Commons

Fundacja Skołkowo i sam Skołtech zostały w sierpniu 2022 r. objęte amerykańskimi sankcjami za wspieranie rozwoju strategicznych technologii komputerowych, mających kluczowe znaczenie dla bezpieczeństwa narodowego i obrony Rosji.

Podczas prezentacji w Skołkowie Piankow i Garakch poznają fińskiego przedsiębiorcę Pekkę Viljakainena. To właśnie on pomoże im w założeniu firmy w Europie (Garakch zarazi go pomysłem na biznes w kolejce do toalety). 

Viljakainen pamięta, że startup miał problemy: rosyjskie przepisy nie pozwalały na przetwarzanie danych klientów rosyjskich i europejskich w tej samej infrastrukturze, więc klientów z Zachodu trzeba było „przenieść” za granicę. – Poprosili o możliwość założenia firmy i stworzenia własnej infrastruktury dla klientów z Europy – wspomina Viljakainen.

Administrator Passwork tak wspomina operację „europeizacja” na blogu (wpis z 2017 r.): „Niedawno zdaliśmy sobie sprawę, że bez względu na to, jak na to spojrzeć, ludzie tak naprawdę nie ufają rosyjskim produktom, a aby promować Passwork na Zachodzie, potrzebujemy oficjalnej firmy w »normalnym« kraju”.

W maju 2017 r. firma Passwork Oy została zarejestrowana w Finlandii w trzypiętrowym biurowcu w Helsinkach. Garakch i Piankow objęli po 35 proc. uUdziałów, pozostałe 30 proc. trafiło do firmy rodziny Viljakainena, Aii Corporation Oy.

Viljakainen twierdzi, że nie angażował się w działalność firmy i nic nie wiedział na o dalszych losach produktu po likwidacji fińskiej firmy w 2024 r. Opisuje „chłopaków z Passworka” jako twórców i zarządców usługi bardzo wysokiej jakości, z której nadal korzystają jego firmy.

Kalendarium działalności Passwork 

Data

Wydarzenie

Opis

Czerwiec 2014

Początek startupu

Powstaje rosyjska strona internetowa, dzień później zarejestrowana zostaje strona europejska

Kwiecień 2017

Nagroda

Passwork wygrywa konkurs dla startupów Fundacji Skołkowo

Maj 2017

Ekspansja europejska

Passwork Oy zostaje zarejestrowany w Finlandii

Luty 2022

Atak Rosji na Ukrainę

Rosja przeprowadza pełnoskalową inwazję na Ukrainę

Maj 2022

Sprzedaż udziałów

Garakch i Piankow sprzedają swoje udziały w Passwork Oy

Lipiec 2022

Ekspansja na Bliski Wschód

Passwork FZ-LLC zostaje zarejestrowany w Zjednoczonych Emiratach Arabskich

Listopad 2022

Powstanie podmiotu rosyjskiego

Passwork LLC zarejestrowany w Rosji

Lipiec 2024

Likwidacja fińskiej spółki

Passwork Oy przechodzi w stan likwidacji

Sierpień 2024

Nowa siedziba w Europie

Passwork Europe S.L. zostaje zarejestrowany w w Hiszpanii

 

Hala numer dwadzieścia trzy

Inwazja Rosji na Ukrainę w 2022 r. zmienia klimat biznesowy w Europie. Rządy stają się coraz bardziej nieufne wobec oprogramowania z Rosji.

Model Passworka oparty na samodzielnym hostingu — czyli gdy oprogramowanie znajduje się w infrastrukturze klienta — teoretycznie chroni dane użytkowników przed przejęciem przez rosyjskie władze. Ale dodatkowo Passwork wprowadza zmiany, które formalnie oddzielają rosyjskich założycieli od europejskiej spółki.

W maju 2022 r. Piankov i Garakch sprzedają udziały w Passwork Oy spółce Aii Corporation Oy, czyli firmie znajomego Fina. Dwa miesiące później w Emiratach zostaje zarejestrowana firma o Passwork FZ-LLC. Jej adres to „Shed [hala] No.23” w strefie ekonomicznej Ras Al Khaimah.

Widok z lotu ptaka na strefę ekonomiczną Ras Al Khaimah (Rakez) w Zjednoczonych Emiratach Arabskich. Źródło: Zrzut ekranu/Google Earth Pro/AirbusData SIO, NOAA, Marynarka Wojenna Stanów Zjednoczonych, NGA, GEBCO
Widok z lotu ptaka na strefę ekonomiczną Ras Al Khaimah (Rakez) w Zjednoczonych Emiratach Arabskich. Źródło: Zrzut ekranu/Google Earth Pro/AirbusData SIO, NOAA, Marynarka Wojenna Stanów Zjednoczonych, NGA, GEBCO

W Emiratach tożsamość udziałowca spółki jest tam objęta tajemnicą. Ale w rejestrze przedsiębiorstw ZEA odnaleźliśmy Piankowa w roli dyrektora. Inne, publicznie dostępne dane wskazują Garakcha zarówno jako oficjalnego właściciela, jak i osobę kontaktową w sprawie domeny passwork.ae.

W listopadzie 2022 r., Piankow i Garakch zakładają w rodzinnym Archangielsku spółkę Passwork LLC (OOO „Passvork”). Firma obsługuje dziesiątki rosyjskich klientów objętych sankcjami, w tym producentów rakiet i twórców technologii kosmicznych.

Dla kogo pracuje PASSWORK.RU

  • Korporacja Systemów Kosmicznych Specjalnego Przeznaczenia „Kometa” – rosyjskie przedsiębiorstwo z branży obronnej. Specjalizacja: badaniach, rozwój, produkcja i eksploatacja kosmicznych systemów informacyjnych, sterowania i rozpoznania. Objęte sankcjami przez Kanadę, Szwajcarię i UE

  • AO NII Submikron – instytut badawczy; dostawca urządzeń do lotniczych systemów identyfikacji oraz cyfrowych kompleksów sterowania. Objęty sankcjami przez Szwajcarię, USA, UE i Japonię

  • Specjalne Biuro Projektowe Moskiewskiego Instytutu Energetyki (OKB MEI) – specjalizacja: systemy i kompleksy radiotechniczne dla technologii rakietowej i kosmicznej. Objęta sankcjami przez Kanadę i USA

  • Gazprom Neft – jeden z największych producentów ropy w Rosji. Objęty sankcjami przez USA, Kanadę, Szwajcarię, UE, Wielką Brytanię, Australię i Nową Zelandię

  • Koncern VKO „Almaz-Anteyi” – konglomerat zbrojeniowy. Specjalizacja:  opracowują i systemy i sprzęt obrony powietrznej oraz obrony przeciwrakietowej. Objęty sankcjami przez Kanadę, Szwajcarię, UE, Wielką Brytanię, Australię, Nową Zelandię, Japonię i Ukrainę

  • NPO „Almaz” – wiodące przedsiębiorstwo produkcji systemów rakietowych ziemia-powietrze. Objęte sankcjami przez USA, Kanadę, Szwajcarię, UE, Australię i Japonię

  • Państwowy Rządowy Ośrodek Badań Naukowych Systemów Lotniczych (GkNIPAS) – specjalizacja: testy naziemnych i poligonowych systemów lotniczych. Objęty sankcjami przez USA, Szwajcarię, Japonię, UE oraz Ukrainę

  • MMZ „Avangard” – specjalizacja: broń dla rosyjskiej obrony powietrznej, w tym dla systemów rakietowych S-300 i S-400. Objęty sankcjami przez USA, Szwajcarię, Kanadę, UE, Australię, Japonię, Nową Zelandię oraz Ukrainę

  • United Shipbuilding Corporation (USC) – największy, rosyjski konglomerat stoczniowy, pokrywa ok.  80 proc.  projektów stoczniowych Rosji. Objęty sankcjami przez USA, Kanadę, Szwajcarię, UE, Wielką Brytanię, Australię, Nową Zelandię i Japonię

  • United Aircraft Corporation (UAC) – producent samolotów cywilnych i wojskowych; objęty sankcjami przez Wielką Brytanię, USA i UE

Viljakainen twierdzi, że po wybuchu wojny w Ukrainie zerwał kontakty z Rosjanami, choć nie miało to nic wspólnego z Passworkiem. Po prostu sankcje sprawiły, że prowadzenie biznesu stało się zbyt trudne.

W sierpniu 2024 r., miesiąc po ogłoszeniu likwidacji fińskiej firmy, Rosjanin Alexander Muntian zarejestrował w Hiszpanii spółkę Passwork Europe S.L. Dziś jest w niej dyrektorem generalnym i jedynym udziałowcem.

Puk, puk, my z aktualizacją

Spytaliśmy o zmartwychwstanie firmy Viljakainena. Twierdzi, że nic o nim nie wie, a działalność „chłopaków z Passworka” przeniosła się do Emiratów.

Rosjanin Muntian twierdzi, że Passwork Europe jest całkowicie niezależna od rosyjskiego klonu. Spytaliśmy go, w jaki sposób nabył prawa do oprogramowania od firmy z siedzibą w Emiratach? Odmówił odpowiedzi,  powołał się na zapisy o zachowaniu poufności. A bliźniacze podobieństwa do rosyjskiej firmy, materiały na stronach, wzorce techniczne? To „pozostałości administracyjne”, a nie dowód wspólnego zarządzania, przekonuje Muntian.

Zdradza jednak, że choć Garakch, „nie zarządza Passwork Europe S.L. i nie ma dostępu do systemów klientów”, to do sierpnia tego roku zapewnia „ograniczone wsparcie w zakresie transferu wiedzy związanej z produktem” za pośrednictwem emirackiego Passworka.

Rosyjska i europejska strona Passworka są zadziwiająco podobne – zdaniem ekspertów ds. cyberbezpieczeństwa powinno to budzić obawy wśród jego europejskich klientów. Podobnie jak testy w ramach rosyjskiej certyfikacji FSTEC – proces ten obejmuje „testy mające na celu identyfikację luk w zabezpieczeniach i niezgłoszonych funkcji”.

Publicznie dostępne instrukcje obsługi najnowszych wersji zarówno rosyjskiego, jak i europejskiego produktu, są praktycznie identyczne (poza językami, w jakich je napisano).

Obie strony wskazują również, że od co najmniej listopada ubiegłego roku otrzymują aktualizacje oprogramowania w podobnym harmonogramie, a opisy nowych funkcji i wersji są niemal identyczne.
6 kwietnia domena passwork.ru wydała aktualizację oprogramowania w wersji 7.6. Następnego dnia europejska passwork.pro ogłosiła wprowadzenie programu Passwork Pro w wersji 7.6 – podając identyczny opis funkcji aktualizacji.

Serwisy Passwork.pro i Passwork.ru ogłaszają wprowadzenie wersji 7.6 programu Passwork, posługując się identycznymi opisami aktualizacji oprogramowania. Źródło: Zrzut ekranu/passwork.pro/passwork.ru
Serwisy Passwork.pro i Passwork.ru ogłaszają wprowadzenie wersji 7.6 programu Passwork, posługując się identycznymi opisami aktualizacji oprogramowania. Źródło: Zrzut ekranu/passwork.pro/passwork.ru

Łukasz Olejnik, zajmujący się technologiami bezpieczeństwa i prywatności, który na prośbę zlecenie OCCRP analizował rosyjską i europejską wersję stron Passworka. uważa, że wszystkie podobieństwa budzą wątpliwości co do skuteczności zabezpieczeń, oddzielających europejską i rosyjską wersję serwisu.

– Obecny podział na wersję unijną i rosyjską wydaje się z technicznego punktu widzenia powierzchowny – uważa Olejnik, i wskazuje na 517 wierszy skryptu instalacyjnego. Według niego dla obu wersji jest „zasadniczo identyczny”. – Stanowi to wiarygodny układ faktów wysokiego ryzyka, który wymaga zbadania.

Dyrektor generalny Passworka, Muntian, zaprzecza temu, że rosyjska i europejska spółka koordynują aktualizacje oprogramowania. Przyznaje jednak, że ponieważ mają „wspólne pochodzenie kodu źródłowego”, możliwe jest, że podmiot z Emiratów dostarcza aktualizacje wielu podmiotom w podobnym terminie.

Van den Berg, ekspert ds. bezpieczeństwa z Instytutu Clingendael, uważa, że niejasność struktury własnościowej firmy z Emiratów oraz brak przejrzystości w odniesieniu do jej rosyjskiego odpowiednika, stwarzają ryzyko dla oprogramowania przetwarzającego wrażliwe dane: – W chwili, gdy zaczynasz współpracować z organizacją, której strukturę musisz zgłębiać przez tygodnie, ponieważ jest całkowicie nieprzejrzysta, a to właśnie tam znajdują się klucze do twojego cyfrowego domu, powinno to być sygnałem ostrzegawczym.

Zdaniem ekspertów najgroźniejszy może być mechanizm dostarczania aktualizacji – zainfekowane lub złośliwe aktualizacje pozostają jedną z najskuteczniejszych metod do penetracji sieci. – Mechanizm aktualizacji jest najbardziej eleganckim i najtrudniejszym do wykrycia wektorem ataku: pojedyncza, przygotowana aktualizacja, może wywołać wyciek zawartości sejfu [haseł] w miejscach uznanych za interesujące, a następnie zniknąć bez śladu – mówi Donald Ortmann, ekspert do spraw bezpieczeństwa.

Gdy FSB szuka tylnych drzwi

Ortmann przypomina atak hakerski z lat 2019–2020 na amerykańską firmę SolarWinds, jeden z największych cyberataków w historii. Rosyjscy agenci infiltrowali wtedy systemy firmy, aby wprowadzić tzw. konia trojańskiego w jednej z aktualizacji oprogramowania.

Po wdrożeniu aktualizacji u klientów SolarWinds atakujący zdobyli dostęp do zainfekowanych komputerów, narażając na niebezpieczeństwo systemy poczty elektronicznej Departamentu Skarbu i Departamentu Sprawiedliwości.

Podobnie jak w wielu innych krajach, w tym w Stanach Zjednoczonych, państwo rosyjskie może zmusić podmioty ze swojej  jurysdykcji, takich jak właściciele rosyjskiego Passworka, do współpracy ze służbami przy operacji wywiadowczych.

– Biorąc pod uwagę szerokie uprawnienia rosyjskich służb, gdyby takie materiały lub kod źródłowy wzbudziły zainteresowanie FSB, istnieje ryzyko, że władze mogłyby uzyskać do nich dostęp – mówi Oleksandr Frołow, partner międzynarodowej kancelarii prawnej Kinstellar z Kijowa, specjalista od sankcji.

Na swojej stronie rosyjski Passwork informuje, że „architektura produktu, algorytmy kryptograficzne, kontrola dostępu oraz mechanizmy rejestrowania przeszły wszystkie etapy szczegółowej weryfikacji pod kątem zgodności z wymogami rozporządzenia FSTEC nr 76 z dnia 2 czerwca 2020 r.”.

Czyli zgodnie z wytycznymi Kremla. 

Po co klienta denerwować

Muntian twierdzi, że Passwork Europe SL nie ukrywa informacji o pochodzeniu oprogramowania ani o swoich twórcach, a serwery firmy znajdują się w Europie. A co z identyczną identyfikacją marki produktu? Nie ruszał jej, „aby nowa szata graficzna nie zakłóciła pracy obecnych klientów”.

Dla kilku europejskich klientów rosyjskie pochodzenie Passworka jest zaskoczeniem.

OCCRP skontaktowało się z około 30 klientami, których nazwy reklamowano na europejskiej stronie internetowej Passworka i na LinkedIn.

Zrzut ekranu przedstawiający listę klientów Passwork pro na LinkedIn. ŹRÓDŁO: Zrzut ekranu/LinkedIn/passworkpro
Zrzut ekranu przedstawiający listę klientów Passwork pro na LinkedIn. ŹRÓDŁO: Zrzut ekranu/LinkedIn/passworkpro

Ponad tuzin z nich potwierdziło, że przynajmniej część pracowników korzystała z tego oprogramowania. Większość nie była świadoma rosyjskiego pochodzenia Passworka ani certyfikowania produktu przez FSB lub FSTEC.

Wśród klientów firmy odnaleźliśmy firmę Sunreef Yachts, która od ponad dwudziestu lat buduje luksusowe katamarany w stoczni w Gdańsku. To produkty dla najbogatszych – ceny jachtów sięgają 50 mln euro. Kupują je gwiazdy sportu: jachtami z Gdańska pływają kierowca Formuły 1 Fernando Alonso, tenisista Rafael Nadal czy Robert Lewandowski. Kto jeszcze? Firma nie zdradza. – Mamy wielu klientów, którzy chcą zachować anonimowość – tłumaczył w wywiadzie dla „Wprost”  Francis Lapp, założyciel firmy.

FRONTSTORY.PL dodzwoniło się do pracownika działu IT Sunreef Yachts. Potwierdził, że firma korzysta z menedżera haseł od 6-7 lat. Nie wiedział o rosyjskich powiązaniach Passworka – tłumaczył, że to nie on wdrażał oprogramowanie. Na naszego maila z dodatkowymi pytaniami nie odpisał ani on, ani biuro zarządu firmy.

Irlandzki, rządowy Urząd Robót Publicznych (OPW), agencja zarządzająca częścią  państwowych nieruchomości, twierdził, że zna jedynie „hiszpańskiego” Passworka. Inna irlandzka agencja rządowa (ze względów bezpieczeństwa poprosiła o zachowanie anonimowości), przyznaje, że nie była świadoma rosyjskich tropów działalności Passworka: „ ,…) Zapytanie prasowe zwraca uwagę na nowe potencjalne ryzyko, które traktujemy poważnie. W związku z tym dokonujemy przeglądu produktu oraz wszelkich związanych z nim zagrożeń i wątpliwości” – poinformowała nas agencja.

Paradigm Brussels, belgijska firma świadcząca usługi informatyczne dla władz regionalnych Brukseli, wie o rosyjskim pochodzeniu twórcy Passworka, ale według niej struktury firmy „ewoluowały” do tego stopnia, że „to historyczne powiązanie nie ma żadnego wpływu na funkcjonowanie”.

Osiem innych firm wymienionych jako klienci na stronie internetowej Passwork Europe oraz na LinkedIn zaprzeczyło, że korzystają z tego oprogramowania (wśród nich włoski gigant energetyczny Enel Group oraz niemiecki Deutsche Post). Muntian tłumaczy z kolei, że w niektórych przypadkach klientem Passworka jest mniejsza spółka w ramach grupy, a nie sama spółka macierzysta.

Bert Hubert, holenderski ekspert ds. cyberbezpieczeństwa, były programista, który zasiadał w organie doradzającym holenderskim służbom wywiadowczym: – Nie można powiedzieć: „Nie ufam dostawcy, ale ufam oprogramowaniu”. To nie wchodzi w grę. 

Zapytaliśmy zespół CERT Polska, odpowiedzialny za walkę z cyberzagrożeniami, czy z Passworka korzystają polskie instytucje, czy może być dla nich zagrożeniem i czy ostrzegał je przed Passworkiem?

Dostaliśmy lakoniczną i wieloznaczną odpowiedź: nie, nie ostrzegał.

 

W przygotowaniu artykułu uczestniczyli: Linda Van der Pol (Investico), Sylvana van den Braak

(Investico), Lars Bové (De Tijd), ⁨Jyri Hänninen⁩ (Yle), Raffaele Angius (IRPI), Alicja Pawłowska (Frontstory.pl i VSquare.org), Conor Gallaguer (Irish Times), Damien Leloup (Le Monde), Hakan Tanriverdi (Paper Trail Media).

Nasza praca byłaby niemożliwa bez wsparcia naszych Patronek i Patronów.

Wierzymy, że dziennikarstwo śledcze to dobro publiczne.
Zostań naszym patronem, wesprzyj nas na Patronite.

Wspieraj Autora na Patronite

CZYTAJ WIĘCEJ