12:39
14/7/2010

Fatalne pomyłki klientów Home.pl

Jeśli hostujesz swoją stronę internetową w home.pl, jest szansa, że ktoś może uzyskać dostęp do Twoich plików (w tym haseł do bazy danych), jeśli nie rozumiesz różnicy pomiędzy katalogami /pub a /public_html.

Publicznie dostępne dane klientów Home.pl

Za pomocą jednej z wyszukiwarek internetowych (której nazwy celowo nie zdradzamy) można wygodnie przeszukiwać publicznie dostępne zasoby serwerów home.pl i uzyskać dostęp do tysięcy plików konfiguracyjnych .php, które zawierają np. hasła do baz danych sklepów internetowych, blogów czy innych webaplikacji.

Pliki .php klientów home.pl

Pliki konfiguracyjne WordPressa (zawierają hasła do bazy)

Oprócz plików konfiguracyjnych, publicznie dostępne są także pliki zawierające dane osobowe — oto wynik dla zapytania CV:

Setki CV trzymanych w publicznie dostępnych katalogach na home.pl

Jak to możliwe?

Serwery o nazwach wg wzoru ftp://vXXXXX.home.net.pl pozwalają na dostęp po protokole FTP bez hasła (użytkownik anonymous). I nie jest to nic złego, ale spora liczba klientów home.pl z niewyjaśnionego powodu postanowiła udostępnić “światu” swoje dane. Jak to zrobili? Najprawdopodobniej poprzez pomyłkę katalogu /pub z /public_html — tak przynajmniej wynika z naszych nieoficjalnych informacji od jednego z pracowników Home.pl.

Na oficjalnego e-maila z opisem problemu przesłanego do Home.pl nie otrzymaliśmy dotąd odpowiedzi, ale wg naszego informatora Home.pl pouczył już klientów upubliczniających swoje “wrażliwe” dane. Pouczenie chyba nie odniosło skutku, bo do większości plików (a tak naprawdę wszystkich kilkunastu, które sprawdziliśmy dzisiaj) dalej można uzyskać dostęp…

Głębokie ukrycie klientów home.pl?

Sytuacja w home.pl przypomina trochę “głębokie ukrycie danych”, czyli niedawną wpadkę i tłumaczenia PKO BP. W tym przypadku jednak, to nie wyszukiwarka internetowa, czy Home.pl jest winne upublicznienia danych swoich klientów, ale oni sami.

Można oczywiście debatować nad tym, czy Home.pl dostatecznie jasno informuje swoich użytkowników o konsekwencjach umieszczania danych w katalogu /pub (domyślnie tworzonym na każdym koncie)… ale edukacja w zakresie obsługi FTP to już zupełnie inna bajka i nie jesteśmy pewni, czy powinna ona leżeć w gestii firmy hostingowej.

Wyszukiwarkę namierzył Jarek.

P.S. Nawet jeśli korzystacie z usług innej firmy hostingowej, to sprawdźcie czy przypadkiem wasze pliki nie są publicznie dostępne na podobnej co w home.pl zasadzie. Warto od czasu do czasu sprawdzać jakie dane na temat naszego serwisu są publicznie dostępne, np. korzystając z techniki Google Hacking… Do dzieła! :-)

Aktualizacja 15:25
No i proszę, w 3 godziny po publikacji powyższego artykułu, Home.pl zablokowało dostęp do anonymous FTP na swoich serwerach. Według naszych informacji, klientom udostępniono w panelu administracyjnym możliwość włączenia/wyłączenia dostępu do FTP bez hasła. Brawa za szybkość reakcji. Teraz możemy już ujawnić nazwę wyszukiwarki: aztekium.pl

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Zabawniej było jakiś czas temu (2007), gdy wykryto że łatwo można przeglądać logi klientów home.pl ;)

  2. Nie wiem co tym artykułem chcecie pokazać. Jest pełno “webmasterów” (specjalnie z “”), którzy udostępniają prywatne dane przez niewiedzę i nie dotyczy to tylko home.pl. Jeżeli ktoś nie zna się na takich podstawach dot .stron WWW to nie powinien się za to zabierać, ale ten problem jest ogólnie znany i to nic nowego. Jak umiemy się posłygiwać różnymi wyszukiwarkami to można dorwać różne dane od dostępu do drukarek sieciowych do haseł/adresów czy numerów kont bankowych.

    Pozdrawiam

  3. @matipl: no ciekawe ile tym razem policzyłby ich Pan B.ćko :)

  4. “pub” to każdy początkujący “administrator” (nawet własnej stronki domowej) wie, że oznacza “public”.. czyli od tego momentu to jest publiczne, dla wszystkich.. przykład niewiedzy/zidiocenia niektórych ludzi.. ale jest mnóstwo innych przypadków takiej niewiedzy/…

  5. Szczerze mówiąc nie wiem, czy katalog /pub jest tworzony domyślnie na każdym koncie. U mnie go nie ma i nie było. Inna sprawa, że nie podobają mi się takie “automagiczne” funkcje. Wolałbym świadomie tworzyć katalog z dostępem anonimowym, a nie dostawać to w paczce razem z katalogiem o określonej i w dodatku dość powszechnej nazwie…

  6. no nie, nie udało mi się tej wyszukiwarki znaleźć :P
    za to inną ciekawą znalazłem: http://www.ftp-sites.org/anonymous_ftp_sites_list_pl_1.html
    (pewnie zaraz to ktoś ocenzuruje :P )

  7. A ja znalazłem po kilku próbach, informacje z tych screenów w zupełności wystarczą :> Podpowiem, że nazwa jest podobna do nazwy pewnego ludu zamieszkującego kiedyś Amerykę Południową.

  8. home.pl juz zablokowala dostep anonymous-ftp do serwerow, na ktorych ich uzytkownicy umiescili w katalogu /pub jakies skrypty/aplikacje php.

  9. @dzek Twój tok myślenia jest po prostu rozbrajający, bez komentarza

  10. Ja znalazłem, jakby ktoś był zainteresowany, to zapraszam na stronę ;D

  11. Calkiem niezla ta wyszukiwarka aztekium.pl moglaby jeszcze RS pliki szukac :)

  12. Kilka miesięcy temu znalazłem w home.pl błąd typu XSS (klikalny), z którego pomocą można było wykraść dane Cookie i zalogować się jako okradziony użytkownik (oczywiście w sytuacji gdy zalogowany do panelu użytkownik odwiedził przygotowany specjalnie odnośnik) i muszę przyznać, że Home.pl zareagowało bardzo szybko i sprawnie. Zarówno w kwestii poprawki jak i kontaktu. Pogratulować takiej obsługi.

  13. Mr. Niebezpieczny ile czasu upłynęło od wysłania e-maila do publikacji wpisu na Niebezpieczniku? Jakoś mam wrażenie, że kolejna firma OLAŁA zgłoszenie problemu, a realne środki wdrożyła dopiero po publikacji błędu.

    Jako że dopiero co zakończył się mundial i wszyscy, nawet nie fani, słyszeli choć raz o słynnych problemach z emisją replayi… Pozostaje mieć nadzieje, że Home.pl nie zacznie atakować prasy swoimi rzecznikami prasowymi i innymi manipulatorami PR, na wzór tych przypuszczonych przez organizację FIFA.

    • @x: w poniedziałek Home zostało powiadomione, następnego dnia otrzymaliśmy informacje (nieoficjalne) ze klienci, których pliki były widoczne na cały świat zostali przez Home powiadomieni o ryzyku i poinstruowani co robić. Odczekalismy 24h i zdalismy relacje z bledu bez szczegółów pozwalających dotrzeć do plików (ten artykuł) — 3h pózniej (znow wg nieoficjalnych wiadomosci) zostalismy poinformowani ze Home dodatkowo zablokował dostęp do FTP-anon. IMHO bardzo szybka i sprawna reakcja. Do akapitu o mundialu się nie odniose, bo nie wiem o co chodzi.

  14. Ahh czyli jednak czarny scenariusz polskiej rzeczywistości się nie spełnił. ;)
    A już węszyłem spisek i obiboctwo. ;P

    mundial: generalnie chodzi o to, że FIFA za błąd uznała standardowy replay zakwestionowanego gola w tv, a nie oczywisty błąd sędziego, który został …skompromitowany(?) na oczach milionów. ;)
    analogicznie do IT nasze aplikacje są bezpieczne, to osoba publikująca informację(na którą wcześniej nie zareagowaliśmy) jest winna :P

  15. Za to umieszczanie plików konfiguracyjnych w public_html to już dobre jest? Podobna rozrywka jak mieszanie w jednym katalogu .php, .jpeg i wszystkiego jak leci.

  16. @X: Biorąc pod uwagę to, że sędziowanie już dawno można by uczynić sprawiedliwszym przy pomocy technologii, to ja ogólną politykę FIFA na temat używania sędziów z krwi i kości tradycyjnych rozumiem, jako otresowywanie gawiedzi do uznawania autorytetów w życiu codziennym

  17. ja tą wyszukiwarkę rozpoznałem z Wykopu x)

  18. Jak mi to kumpel pokazywał, to nie wierzyłem, a jednak…
    Jak można wiedzieć tyle, żeby umieć postawić WordPressa, a jednocześnie nie wiedzieć tak podstawowej rzeczy, jak pub :?

  19. @matipl: nie logi, tylko statystyki – wystarczyło wejść na domena.home.pl/stats/. Ale “załatali to” poprzez dodanie do nazwy katalogu hasha MD5 – zamiast nałożyć .htaccess z hasłem :/

  20. Mogliby tez na samym aztekium naprawic xss

  21. fajna ta wyszukiwarka..
    “hasła”
    “dane domeny”

  22. i jeszcze (sorry nie mogłem się powstrzymać..)
    “stary pendrive”

    Albert miał rację (mówiąc o ludzkiej głupocie ;))

  23. WTF?
    ftp://filez.home.net.pl/home.pl/

  24. Właściwie to możemy dołożyć “fotki” i “kopia fotki” :-)

  25. Te wszystkie dane z home.pl już dawno były dostępne na ruskiej wyszukiwarce proisik.ru. :-) Pozostałości po home.pl dostepne są tam do dzisiaj.

  26. Przepraszam proisk.ru

  27. […] w skrętkach, niezatapialnych serwerów, braku false-positivów, zaufanych osób w sieciach z WPA2, szczelnych serwerów FTP, wytrzymałych UPS-ów i generatorów prądu, których nie trzeba wwozić windą do serwerowni oraz […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: