15:43
12/9/2021

Tydzień temu Szymon Hołownia zaprezentował aplikację Jaśmina, która ma być platformą komunikacyjną dla jego zwolenników. Niestety, aplikacja zaliczyła już pierwsze wpadki. Można było np. podejrzeć adresy e-mail jej użytkowników. Co ciekawe, zespół Jaśminy nie nazywa tego wyciekiem, a “fuksem” osoby, która ją ujawniła…

Aplikacja Jaśmina bazuje na cudzym kodzie

Nie jest tajemnicą, że aplikacja Jaśmina nie powstała od zera. To tak naprawdę Meeting Application. Nie ma w tym niczego złego, tworzenie aplikacji trwa i wymaga wiedzy, generując spore koszty. Korzystając z cudzego kodu, przeznaczonego do “obrandowywania” przez inne marki, ruch Szymona Hołowni oszczędził pieniądze.

Wygląda jednak na to, że oszczędności nie przeznaczono na sprawdzenie aplikacji przed startem, zarówno pod kątem prawnym jak i technicznym.

Już tydzień temu zwracaliśmy uwagę na to, że aplikacja zawiera kod oprogramowania Jitsi. Nie ma w tym niczego złego. Kod tego oprogramowania można wbudować w swoje projekty, ale pod warunkiem spełnienia wymogów licencji Apache. A te nie zostały spełnione.

Zwróciliśmy się z pytaniami zarówno na oficjalny adres ruchu Polska2050 jak i firmy, na aplikacji której bazuje Jaśmina. Oto, jaką odpowiedź dostaliśmy od jednego z twórców aplikacji Meeting Application (tej na której Jaśmina bazuje):

Reakcja wymaga pochwały. Szybka i bez chowania głowy w piasek. Gratulujemy! Choć dobre wrażenie trochę psuje to, że na nasze pytania dotyczące tego naruszenia licencji ruch Polska 2050 do tej pory nie odpowiedział.

Adresy e-mail użytkowników do podejrzenia

W niedzielę, jeden z użytkowników Twittera poinformował, że był w stanie masowo pobierać adresy e-mail użytkowników Jaśminy.

Jak widać, aplikacja zwracała adresy e-mail w odpowiedzi na zapytania do API. Znalazca twierdzi, że zgłosił błąd e-mailowo, błąd został załatany, ale odpowiedzi na swoją wiadomość, nawet ze zwykłym “dziękuję” nie otrzymał.

“To nie był wyciek a fuks”

Można dyskutować, czy ujawnienie adresu e-mail to błąd poważny i jak bardzo naraża użytkowników aplikacji na deanonimizację lub ataki spear phishingowe. Co o błędzie myślą osoby związane z profilem Jasmina_2050?

“Dziura którą zgłosił Pan Łukasz (bo niejaki Fir3 ma na imię Łukasz) była dziurką, która zniknęła w ciągu godziny i nie była wyciekiem tylko fuksem pana Łukasza. Coś więcej?
(…)
Nie ma możliwości pobierania adresów e-mail użytkowników i nigdy nie było.
(…)
od kiedy nie zamazujecie danych wrażliwych na screenach”

Przynajemy. Takich odpowiedzi się nie spodziewaliśmy. To już chyba lepiej tydzień milczeć niż odpowiadać na pytania w takim stylu…

Najbardziej uderza fikołek logiczny — skoro możliwości pobierania adresów e-mail użytkowników nigdy nie było, jak twierdzi Jaśmina, to w takim razie nie ma ich też na screenie Fir3 pokazującym błądfuksa. Więc zamazania czego Jaśmina oczekuje od osób retwitujących tego screena? (Dla jasności: czerwony prostokąt my dołożyliśmy, na oryginalnym twicie go nie ma).

Uważny czytelnik spostrzeże, że Jaśmina do pseudonimu użytkownika Twittera sama z siebie dorzuciła imię. Po co? Nie wiemy, ale zabawnie to wygląda w kontekście rozmowy o tym, czy aplikacja ujawnia dodatkowe dane o użytkownikach czy nie…

Słaba komunikacja

Wnioski? Nawet biorąc gotową aplikację, przed jej produkcyjnym wdrożeniem warto przyjrzeć się kilku aspektom:

  • zgodności z licencjami
  • kwestiom bezpieczeństwa
  • zgodności z przepisami o ochronie danych osobowych. Te w specjalny sposób podchodzą do kwestii politycznych — to nie nasza domena, ale tym aspektem Jaśminy zajęła się ekipa Panoptykonu, która jest rozczarowana tym co zobaczyła.

Nawet niedoświadczeni twórcy wiedzą, że na początku wdrażania każdej aplikacji mogą pojawić się i zazwyczaj pojawiają się niedociągnięcia i błędy. Tym bardziej dziwi, że projekt Jaśmina od strony komunikacyjnej zdaje się być całkowicie niegotowy na sytuacje dotykające bezpieczeństwa aplikacji, a dialog prowadzi w sposób, który odbiega od wartości jakie głosi ruch Szymona Hołowni.

PS. Pytania dotyczące tego “fuksa” przesłaliśmy Jaśminie, tym razem w wiadomości prywatnej na Twitterze. Po otrzymaniu odpowiedzi zaktualizujemy artykuł.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

22 komentarzy

Dodaj komentarz
  1. “a dialog prowadzi w sposób, który odbiega od wartości jakie głosi ruch Szymona Hołowni” ciekaw jestem o jakie wartości chodzi, bo jak dla mnie to człowiek bezideowy

    • Abstrachując od tego czy masz rację czy nie.
      Głosi != wyznaje

  2. Osoba pisząca tweeta od strony Jaśmina nie jest poważna, jak to brzmi w ogóle.

  3. Jeszcze gdyby osoba odpisująca na wiadomość znała pojęcie danych wrażliwych…

  4. Jaki Alladyn taka Jaśmina xD

    @Niebezpiecznik,
    Aplikacja? Ja wiem, ze techniczni giganci lubia uzywac slownictwa ktore sprawia, ze klienci czuja sie bardziej profesjonalni, ale czy to nie jest przypadkiem tylko applet?

  5. Ps. Odnosnie tego appletu (nie w re: bo post czeka na autoryzacje):
    Jesli podczas tlumaczenia nie znajdujemy odpowiednika w jezyku docelowym, i nie chce nam sie wymyslac zamiennika, zostawiamy slowo w orginale ~ bo żyrafa to nie krowa “taka tylko troche rozciagnieta”…

  6. Na pytanie czy szczepionki będą obowiązkowe, a może “dobrowolne” w takim samym stopniu jak za pisu (presja polityczno-społeczna, straszenie, odbieranie prywatności paszportami szcz.) też nie raczył odpowiedzieć. Nie polecam tego człowieka wyborcom. Polecam, aby wyborcy zebrali się do kupy i sami stworzyli nową partię, która spełni potrzeby obywateli. Jest na to jeszcze trochę czasu do wyborów.

    • To tworzymy? Jakieś pomysły co do programu? Niskie podatki i wolność gospodarcza? Zmniejszenie liczby posłów do 100 oraz ministrów do 4? ;>

    • Rozumiem że komitet wyborczy Marta2023 już jest zarejestrowany i można dołączyć? Czy czekamy na kogos komu bedzie się chciało?

    • @Lukie: Myślę że jeszcze nie jest. Ale partię/komitet to bym raczej nazwał “Wszyscy WON – Wolność Odnowa Nadzieja”.

    • Partia Bezpieczników Polskich – program:
      1. Zakazać komputerów – są niebezpieczne
      2. Zakazać telefonów – są niebezpieczne
      3. Zlikwidować słowa wnuczek, policjant, InPost, kurier – pozbędziemy się przekrętów na wnuczka, policjanta, InPost itd.

    • @Janusz
      Trzeba na znanych twarzy! Może Kononowicz? On już miał program “zlikwiduje wszystko, nie będzie niczego” czy jakoś tak.

    • No tutaj to mam gotowy pomysł.
      Skoro KAŻDA parta obecna na scenie działa dokładnie ODWROTNIE do nazwy (poćwiczcie sobie – świetna zabawa) – proponuję stworzyć partię Nienawiść i Chaos (NiC).

      Hasła wyborcze piszą się same.
      “NiC nie stoi na przeszkodzie, żeby …”
      A finalnym celem – wprowadzenie miłości porządku (tylko ciii ;-))

  7. Każda wpadka partii opozycyjnej na tym portalu będzie ukazywana w superlatywach.

    • xD

    • Przecież opozycja nie istnieje. To “Dziel i Rządź” czyli polityka wymyślona przez samego Juliusza Cezara. Jestem natomiast pewny że jakby wpadka była po stronie partii aktualnie rządzącej to Piotr by o tym również napisał.

    • Panie, nie żartuj pan z tą opozycją.

  8. […] odpowiedzi faktycznie nic im nie grozi. Niestety mamy więcej takich jak GUS przypadków (hej, Jaśmina! mija drugi […]

  9. […] aplikacji politycznej ruchu Szymona Hołowni, można było masowo pobierać adresy email, informuje Niebezpiecznik. Dziurę, związaną z oprogramowaniem Jitsi (nie zostały spełnione wymogi licencji Apache), […]

  10. […] Wiele firm udostępnia swoje API, a w ramach niego można otrzymać więcej danych niż przez aplikację mobilną lub serwis internetowy, które z tego API korzystają (por. Wyciek danych użytkowników politycznej aplikacji Szymona Hołowni). […]

  11. […] znalazła błąd w aplikacji ruchu Hołowni, Jaśminie. Znalazcą był Fir3 (zresztą sam błąd i dość dziwną reakcję ruchu Hołowni na niego opisaliśmy tutaj). Problem w tym, że wszystko wskazuje na to, że to nie Fir3 wysłał maila z pogróżkami do […]

  12. […] często po szczątkowych lub zupełnie innych danych niż zezwala na to interfejs WWW (por. Wyciek danych użytkowników politycznej aplikacji Szymona Hołowni). Dlatego ich nadużycie jest modne, także w środowiskach OSINT-owych. Jeden z takich błędów […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: