20:30
28/3/2018

Wiele osób liczy na karierę w show biznesie, a to oznacza konieczność pozostawiania swoich danych w różnych miejscach. Te dane nie zawsze są właściwie zabezpieczane, o czym świadczy m.in. wpadka najstarszej i największej agencji aktorskiej GUDEJKO oraz błąd konfiguracji serwerów TVP.

Treści SMS-ów, numery telefonów, PESEL-e i inne dane

Zapewne wielu naszych Czytelników wie, że wyszukiwarka Google jest jednym z najprostszych “narzędzi do hackowania” (por. Google Hacking). Wystarczy użyć tzw. “Google Dorks” czyli operatorów wyszukiwania zaawansowanego. Możemy dzięki nim wyszukać na stronie pliki określonego typu (filetype) albo określony tekst w treści (intext).

Nasz Czytelnik – mike – użył operatora intitle:Index.of aby przeszukać stronę agencji GUDEJKO, która przechowuje dane tysięcy aktorów, kandydatów na aktorów, modelek itd. Jak zapewne się domyślacie, nasz Czytelnik trafił na katalogi z plikami. Pierwszym znaleziskiem był plik smsdata.txt, który zawierał wiadomości tekstowe z zaproszeniami na castingi. Można było poznać numery telefonów aktorów lub przyszłych aktorów.

Mike przyjrzał się także katalogowi, w którym znajdował się ten plik. Były w nim dokumenty z pełnomocnictwami, a w nich:

  • imiona i nazwiska,
  • adresy zamieszkania
  • numery PESEL.

Pełnomocnictw nierzadko udzielali rodzice dzieciom, zatem w pismach występowały dane i jednych i drugich.

Takich dokumentów było niemało. Do tego mike natknął się na katalog z filmami, na których modelki i modele przedstawiali się i podawali swoje wymiary. Oprócz filmów, dostępny był również katalog z fotografiami.

Filmy i fotografie stanowiły element publicznego portfolio modeli i aktorów. Jednak pod wpływem tych zdjęć i filmów mike zaczął się zastanawiać, czy agencja umożliwia modelom uploadowanie własnych plików. Okazało się, że tak. To z kolei doprowadziło go do znalezienia sposobu, by uzyskać dostęp do panelu administratora w bazie agencji Gudejko. Ta baza w momencie testu obejmowała 9,3 tys. aktorów i modeli oraz ponad 540 kandydatów na nich.

Telefon do gwiazdy? Czemu nie!

We wspomnianej bazie można było znaleźć w bazie np. dane osób będących statystami i innych, których nazwalibyśmy “aktorami nieprofesjonalnymi“. Agencja GUDEJKO od dawna działa na tym obszarze toteż na przestrzeni lat zebrała mnóstwo danych takich właśnie osób. Oprócz imion, nazwisk i wszelkich danych kontaktowych w bazie znajdują się ogólne dane biometryczne.

Anna Dereszowska powinna zastrzec sobie dowód

Wisienką na torcie są dane osób znanych i to takich, których na oficjalnych profilach celebrytów na IMDB albo Wikipedii raczej nie znajdziecie (choć możecie do nich dotrzeć poprzez inną bazę, która wyciekła kilka lat temu z firmy cateringowej Fit and Eat).

Oto co udało się znaleźć w bazie GUDEJKO na temat aktorki Anny Dereszkowskiej:

Naszym zdaniem Pani Anna Powinna zastrzec dowód i wyrobić nowy. To samo powinny zrobić również inne osoby, które zostawiły swoje dane w tej agencji.

To jak poradzić sobie z wyciekiem danych osobowych lub kradzieżą tożsamości i czym może to grozić opisaliśmy w artykule pt. Co jeśli oszust weźmie pożyczkę na moje dane? Spójrz na tę mapkę!)

Zdaniem mike’a baza nie była odpowiednia zabezpieczona jak na dane, jakie zawierała:

Ogromna baza danych – PESELE, nr dowodów osobistych, adresy email, adresy zamieszkania, telefony, wymiary, rozmiary, hobby, zainteresowania, szkoły, moduł do wysyłania smsów i inne – to zasługuje na lepszą ochronę.
Zapewne strona posiada o wiele więcej dziur (sqli, xss), ale szukanie ich nie było moim celem. Dodam jeszcze, że serwer jest współdzielony i znajdują się na nim inne witryny.

Szybko się przekonaliśmy, że mike miał rację. Zauważyliśmy też, że formularz zgłoszeniowy agencji nie korzysta z szyfrowania, a przecież służy do przesyłania danych osobowych. Zgłosiliśmy sprawę agencji Gudejko i szybko otrzymaliśmy odpowiedź od Bartka Gudejko. Dowiedzieliśmy się, że agencja zatrudnia informatyka będącego twórcą bazy i od niego wynajmuje przestrzeń serwerową. Błędy miały się pojawić po migracji danych, po której również przestał działać SSL. (Brzmi podobnie? Por. Dane setek pacjentów różnych szpitali były dostępne do pobrania z serwera firmy obsługującej polskie placówki służby zdrowia)

Na szczęście mike, który zgłosił nam problem, nie miał żadnych złych intencji i przekazał nam informacje o swoich odkryciach, abyśmy mogli powiadomić agencję. Można chyba mówić o “częściowym wycieku” bo np. dane z pełnomocnictw były dostępne publicznie, niechronione żadnym hasłem.

Ujawnione dane z castingu TVP

Podobny incydent spotkał także TVP. Nasz czytelnik na serwerze telewizji publicznej znalazł publicznie dostępny katalog, a w nim różnego rodzaju pliki. Jeden z plików zawierał listę uczestników castingu do programu “Rok w ogrodzie”. Wraz z ich danymi kontaktowymi.

Natychmiast skontaktowaliśmy się z TVP i dostęp do katalogu został zablokowany. Biuro prasowe nie przedstawiło nam żadnych wyjaśnień, natomiast nieoficjalnie dowiedzieliśmy się, że osoby odpowiedzialne za bezpieczeństwo w TVP nie zostały należycie poinformowane o fakcie i sposobie przechowywania tych danych. Wiemy, że wyciągnięto z tej sytuacji wnioski i nie powinna się ona powtórzyć.

Ten sam problem, co opisany w tym artykule, spotkał parę lat temu PKO BP, który ujawnił dane dłużników jak i PEKAO S.A., który udostępnił CV osób starających się o staż. Jedna z poszkodowanych pozwała bank i uzyskała 10 000 PLN odszkodowania… Czy teraz też ktoś pozwie telewizję albo agencję?

Zabezpieczanie aplikacji webowych to ciężka sprawa…

O błędach w konfiguracji webserwerów albo samych serwisów internetowych na nich hostowanych piszemy dość często. Łatwo jest je popełnić …ale równie łatwo można większość z nich samodzielnie namierzyć. Wystarczy wiedzieć czego szukać, poznać kilka narzędzi i technik “defensywnego” programowania. Tę wiedzę przekazujemy programistom na naszym 2 dniowym szkoleniu z Atakowania i Ochrony Webaplikacji, które regularnie realizujemy w Warszawie, Krakowie, Wrocławiu i Gdańsku i które zbiera bardzo pozytywne opinie od uczestników. Zapraszamy na najbliższe edycje — ich terminy poznasz tutaj.

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. > osoby odpowiedzialne za bezpieczeństwo w TVP nie zostały należycie poinformowane o fakcie i sposobie przechowywania tych danych

    Co za dziecinne tłumaczenie. Po co w takim razie te osoby?

    RODO już wkrótce, posypią się kary to się trochę ta indolencja ukróci.

    • mam podejrzenie graniczace z pewnoscia, ze niektore osoby moga poczekac z publikacja swoich odkryc do 25 maja aby osiagnac lepszy efekt :)

  2. smsdata.txt jeszcze wisi, masakra jakaś. Mam nadzieję, że ktoś za to beknie, oh wait to przecież Polska.

  3. @xxx – gdyby chodziło o przeciętnego przedsiębiorcę, to dostałby takiego kopa w tyłek, że przez rok dochodziłby do siebie (albo i by nie doszedł). Ale wiadomo jak u nas jest z równym traktowaniem.

    • Właśnie w tym problem, że podobno RODO nie będzie dotyczyło wielkich przedsiębiorstw ( gdzieś mi się coś obiło o uszy ). To jest skandal, właśnie takie firmy głównie to powinno dotyczyć.

  4. Po co agencji reklamowej PESESele ludzi, którzy dopiero starają się o pracę? Za dużo jest firm i firemek, sklepów i sklepików, które chciałyby wiedzieć wszystko łącznie z numerem buta. A nie zawsze szczegółowe dane są potrzebne.

    • To tylko świadczy o tym, jak bardzo młodzi i “wykształceni” ludzie są naiwni, a ich parcie na szkło zaślepia im tylko umysły…

  5. Nie lepiej było poczekać z info na nowe przepisy? ZDO mogłoby ich ładnie po kieszeni uderzyć.

  6. Zauważyliście, że tego typu akcje zdarzają się coraz częściej? Ostatnimi czasy to już niemal plaga. Wcześniej też tak było, tylko o tym nie było tak głośno?

    • Od kiedy człowiek zaczął żyć wygodnie, zawsze były z tego powodu jakieś niedociągnięcia. Obecnie w dobie globalnej cyfryzacji takie przypadki będą się mnożyć tym bardziej, że są dość często szczegółowo opisywane, np. przez Niebezpiecznika, co z jednej strony służy wytykaniu błędów i możliwości poprawy, a z drugiej daje ogromne pole do popisu zbyt “ciekawskim” osobom.

  7. Jeszcze ciekawe informacje są na niektórych profilach aktorów/aktorek w kodzie źródłowym jest podany bezpośrednio PESEL i numer dowodu:
    Np. view-source:http://www.gudejko.pl/anna_tomaszewska-piasecka_164193

    • Mała poprawka. Nawet tekst nie jest ukryty tylko w zakładce Języki jest bezpośrednio wpisany…

    • Za coś takiego to już beknąć ktoś powinien… Rozumiem jeszcze błąd w konfiguracji, jakiś włam albo coś podobnego (nie pochwalam, niemniej rozumiem)… ale umieszczanie numeru dowodu i peselu publicznie… ktoś będzie miał za chwilę kilka kredytów niezamówionych…

    • “Trwają prace konserwacyjne” :-)))

  8. Strona nie ma wymuszonego httpsa…
    Standardowo wchodząc jest bez… Czyli formularz “zgłoś sie do nas” też…
    Certyfikat wystawiony na http://www.gudejko.pl ok, bez www błąd…

    Maniana :P

  9. Śmiesznie, bo znikają issue zgłoszone w komentarzach :D
    To zgłaszam jeszcze to:
    “Apache/2.4.27 (Ubuntu) Server at http://www.gudejko.pl Port 80″
    Dobrze wiedzieć na jaką wersję apache’a szukać podatności :)

    • Pozdrawiamy zarządzającego stroną! Biedak pewnie z przerażeniem czeka na każdy kolejny komentarz.

    • A jednak wspomniany kilka komentarzy wyżej PESEL nadal możliwy do odczytania…

  10. jeden błąd i fruu dane powędrowały w świat. a teraz pewnie będą się domagać odszkodowań. każda firma powinna mieć zabezpieczenia. w kwietniu w ptaku będą targi ictlive i na tym evencie będą poruszane kwestie cyberbezpieczenstwa, ochrony danych.

  11. Takich historii jak z Gudejko będzie coraz więcej.

    Powodem jest szukanie najtańszego wykonawcy robot informatycznych.
    Na necie jest pełno ogłoszeń typu “serwer www postawię za 100 zł” potem jakiś gość,który myśli,ze ma jakieś pojecie, bierze się za konfigurację, ale przekierowania na https już zrobić nie umie, indeksowania i bezpośredniego dostępu do plików wyłączyć nie umie, itp.

    Czasem nawet można takiego gostka namierzyć, bo jak ma zlecenie, to na jakimś forum np ubuntu,pl miauczy “jak zainstalować apache na ubuntu i zrobić witrualhorsta”.

    Agencja Gudejko i tka ma szczęście, że ktoś nie poczekał z ujawnieniem tego do lata,
    aż wejdzie RODO,bo wtedy to dopiero mieliby cyrk na kółkach.

    Pozdro

  12. Tak to jest jak się zatrudnia pseudo “informatyków” po dziwnych kierunkach nieinformatycznych.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.