8:53
28/7/2020

Dane klientów sklepu popularnej youtuberki przez dłuższy czas leżały na serwerze niezabezpieczone. Nie wiemy ile osób mogło o tym wiedzieć i czy w pełni zasługuje to na miano “wycieku”. Incydent jest jednak poważny, a administratorka nie udzieliła nam żadnych wyjaśnień.

Sprawa dotyczy sklepu Wersow.com . Jest on prowadzony przez Weronikę Sowę, youtuberkę subskrybowaną przez 1,85 mln użytkowników.

Strona główna sklepu Wersow.com

Kopie zapasowe dostępne publicznie

O incydencie doniósł nam Czytelnik, którego na potrzeby tego tekstu nazwiemy Olkiem. Z jakiegoś powodu Olek trafił na stronę sklepu Wersow.com, a tam dzięki rozszerzeniu DotGit zauważył dostępny publicznie katalog .git. W katalogu znajdował się m.in. plik zawierający dokładne nazwy plików z kopiami zapasowymi. Z kolei te pliki z kopiami zapasowymi były dostępne publicznie w katalogu wersow.com/wp-admin/updraft (a zatem były to kopie wykonane przez dość popularne rozszerzenie WordPressa do backupów).

W plikach z kopiami zapasowymi znajdowały się m.in. faktury, a w nich dane adresowe, kontaktowe oraz informacje o zakupionych produktach. Liczba ujawnionych faktur nie była bardzo duża (a przynajmniej my nie widzieliśmy ich bardzo dużo, ale o skali incydentu powiemy później).

Wśród plików z kopiami zapasowymi znalazły się niestety również kopie baz danych. My mieliśmy okazję zobaczyć m.in. dwa pliki o objętości ponad 100 MB, które stanowiły kopię bazy sklepu (najprawdopodobniej z grudnia 2019 oraz kwietnia 2020). W każdym z tych plików znajdowała się m.in. tabela zawierająca ponad 1200 rekordów z danymi klientów sklepu obejmującymi: imię i nazwisko, adres e-mail, data ostatniej aktywności oraz miejscowość z kodem pocztowym.

We tych samych plikach były też tabele z danymi zamówień. Tam, oprócz numerów zamówień i informacji o wysyłce znajdowały się także dane osobowe, w tym adresy wysyłki, adresy do rozliczeń i numery telefonów (uwaga – nie było kompletu danych dla każdego zamówienia).

Niestety nie potrafimy ocenić rzeczywistej skali problemu. Przede wszystkim nie wiemy jak długo katalog z kopiami zapasowymi był dostępny publicznie. Są podstawy by sądzić, że było tak już w połowie czerwca br., a może jeszcze wcześniej. Olek, który wykrył wyciek zauważył, że zawartość katalogu zmieniała się w czasie. Mogło to wynikać z nadpisywania jednych kopii zapasowych innymi.

Incydent naraził na ujawnienie nie tylko dane osobowe klientów, ale również informacje na temat administratorów sklepu w tym np. hasze danych uwierzytelniających do panelu administracyjnego.

Każdy wyciek danych wiąże się z naruszeniem czyjejś prywatności i coś, co dla jednej osoby wygląda jak zestaw mało istotnych danych dla innej może mieć kolosalne znaczenie. Jak jednak słusznie zauważył Olek, dane dostępne za sprawą tego incydentu mogłyby być wykorzystane do oszustwa, zwłaszcza dane z faktur i zamówień. Można sobie łatwo wyobrazić kierowanie do ofiar bardzo wiarygodnych wiadomości w rodzaju “hej, tu Wersow.com, kupiłeś u nas towar X za kwotę Y, teraz możesz dostać atrakcyjny rabat na Z płacąc przedpłatą na konto…”. Takie rzeczy się zdarzają (por. Jak pracownik Wakacje.pl w cwany sposób próbował sobie dorobić oszukując klientów własnego pracodawcy?).

Wyciek czy tylko incydent?

Wykrycie dostępnie publicznych plików z kopiami zapasowymi wymagało nieco wiedzy oraz uporu. W przypadku Olka wszystko zaczęło się od rozszerzenia, które niejako samo zwróciło uwagę na miejsce gdzie trzeba szukać. Niejedna osoba mogła zauważyć to samo.

W piątek 24 lipca zgłosiliśmy sprawę sklepowi Wersow.com. Zrobiliśmy to e-mailowo, gdyż taką formę kontaktu sklep udostępnia.  Do sprawy wróciliśmy w poniedziałek 27 lipca i zauważyliśmy, że pliki z kopiami zapasowymi zostały usunięte albo zabezpieczone przed dostępem. Ponowiliśmy pytania do administratora, ale niestety nie otrzymaliśmy żadnej odpowiedzi. Możemy powiedzieć, że sklep “coś z tym zrobił”.

Niestety sklep Wersow.com nie odniósł się do naszych pytań w żaden sposób. Nie wiemy zatem….

  • od jak dawna pliki były dostępne publicznie (według naszej wiedzy było tak przynajmniej od ubiegłego miesiąca),
  • czy istnieje możliwość, że zostały wielokrotnie pobrane,
  • jak administratorzy sklepu oceniają skalę wycieku po swojej stronie,
  • czy incydent został zgłoszony do UODO.

Nawiasem mówiąc w Polityce Prywatności sklepu Wersow.com czytamy, iż właścicielka sklepu…

…bardzo poważnie traktuje kwestie dotyczące polityki prywatności. Z tego względu jest dla nas priorytetem dbanie o to, żebyście nie musieli się martwić o ochronę swoich danych osobowych.

Dlatego liczymy, że jakieś wyjaśnienia co do incydentu z czasem się pojawią.

Aktualizacja 29.07.2020 7:41

Wczoraj o godzinie 15:54 otrzymaliśmy od sklepu Wersow.com następującą wiadomość.

Dzień dobry, dziękujemy za informację.
Aktualnie badamy całą sytuację przeprowadzając zewnętrzny audyt bezpieczeństwa na naszej stronie.

Pozdrawiam,
Manager

Przeczytaj także:



31 komentarzy

Dodaj komentarz
  1. Widać “karma wraca” – w regulaminie Sklep sobie zastrzega, że – wbrew przepisom! – nie zwraca kosztów wysyłki np: w przypadku odstąpienia od umowy…

  2. Sprawdźcie czy ta sama kombinacja nie zadziała na ekipatonosi.pl

    • Na wersow.com jest WP i tam był plugin. Natomiast na ekipatonosi.pl jest Shoplo (co nie zabiera możliwości kolejnych incydentów ;)

  3. “dane dostępne za sprawą tego incydentu mogłyby być wykorzystane oszustwa”
    Chyba brakuje “do”.

  4. A czy ta sprawa nie kwalifikuje się do zgłoszenia do UODO (co z RODO i zgłaszaniem takich incydentów)? – z góry zaznaczam, że pytam bo nie wiem :-D

    • Oczywiście że się kwalifikuje.

    • No tak, ale po co? Aby mieli co robić i pozyskać więcej kasy? Beznadziejna instytucja, nie czuje aby cokolwiek ona chroniła, straszak, nie pomagają a tylko karają

    • Na pierwszy rzut oka powinna to zgłosić i powiadomić osoby, których dane wyciekły. Niezgłoszenie oznacza możliwość nałożenia kary. UODO nie lubi, jak się nie zgłasza takich przypadków.

  5. Ok, zgłoszą do UODO i co dalej?
    Załóżmy, że tak jak większość, nie będą mogli powiedzieć czy ktoś pobrał ani od kiedy była dziura (pewnie “od zawsze”). Bo pewnie nic nie logują. I co wtedy? Należy uznać, że wyciek był -> informować klientów?
    A jeśli jednak ktoś loguje i wyszło, że nikt nie pobrał, to…? I tak trzeba do UODO?

    • Skoro są screeny z pliku to znaczy że ktoś pobrał :)

    • niestety nie od zawsze ;)
      Domyślnie Updraft pakuje tam ZIPy i posiada htaccess, który blokuje dostęp do index, a w razie gdyby nie zadziałał wyswietla index z tekstem “WordPress backups by UpdraftPlus”. Pozatym blokada podejrzenia plików, jeżeli nie jest dostępny index.html/php powinna być włączona tak samo jak blokada wykonywania plików PHP w całym katalogu uploads.

      Ktoś celowo rozpakował ten zip bezpośrednio w tym folderze i dlatego te pliki są/były dostępne.

      Inna sprawa, że luk bezpieczeństwa w tym sklepie jest więcej – publicznie dostępna tabela json użytkowników i pozostawiony login admin :) obstawiam, że tabele maja tez prefix WP_ ;)

      Jeżeli będziecie kiedyś w Krakowie to w bibliotece Krakowskiej Akademii im Andrzeja Frycza Modrzewskiego znajduje się moja książka dla administracji publicznej (ale ze wskazówkami dla wszystkich) pod tytułem “Konfiguracja bezpiecznej witryny stworzonej na WordPressie”.

    • @Jaworowicz

      No i to jest właśnie odpowiedź (czynna) i pozytywna na zapotrzebowanie – choćby w tym jednym wąskim zakresie, jakim są problemy z bezpieczeństwem WordPressa czy raczej serwisów na tym silniku działających. Cieszy bardzo, że Kolega zamiast przyłączyć się do chóru narzekających-tylko lub oburzających się że “ktoś śmiał rzucić cień na Młody Polski Biznes” – po prostu wskazał jedną z metod/możliwości poprawy tego stanu rzeczy.

      Żeby nie być tak w 100% gołosłownym – chciałbym wskazać inne miejsce – mianowicie zbiór rekomendacji security dla użytkowników znanego CMSa Joomla – https://sucuri.net/guides/joomla-security/ oraz https://www.siteground.com/tutorials/joomla/security/
      Te oba adresy i zawarte pod nimi wskazówki i rady – mogą pomóc uniknąć wielu typowym atakom oraz (co jeszcze chyba ważniejsze!) zwiększyć poziom świadomości wśród osób zajmujących się utrzymywaniem stron/portali .

      Pozdrawiam

  6. Mnie najbardziej “podoba” się fragment :

    > W piątek 24 lipca zgłosiliśmy sprawę sklepowi Wersow.com.
    > Zrobiliśmy to e-mailowo, gdyż taką formę kontaktu sklep udostępnia.
    > Do sprawy wróciliśmy w poniedziałek 27 lipca i zauważyliśmy, że pliki z kopiami
    > zapasowymi zostały usunięte albo zabezpieczone przed dostępem.
    > Ponowiliśmy pytania do administratora, ale niestety nie otrzymaliśmy żadnej odpowiedzi.
    > Możemy powiedzieć, że sklep “coś z tym zrobił”.
    >
    > Niestety sklep Wersow.com nie odniósł się do naszych pytań w żaden sposób.
    > Nie wiemy zatem…. […]

    Cóż, pewnie oszczędzają na kosztach, i admin lub jego POZK (Pełniacy Obowiązki Z Konieczności) nie ma płacone za kontakty firmami zewn. (ma tylko dopilnować żeby interes w sensie technologii się kręcił). Więc kto ma odpowiadać ? Laska (przepraszam, szan Youtuberka), która ‘firmuje’ swoimi 1,5 M+ laikami czy Subami cały interes ?… ;)
    No proszę…

    Prawd. woli się nie odzywać nawet – co zresztą dowodzi pewnego rozsądku i wyczucia sytuacji. Do czasu jak naprawdę będzie z tego problem w skali/rozumieniu UODO (o ile…?) I wtedy najprawd. będzie próba zrzucenia wszystkiego na admina/POZK o ile oczywiście, również z oszczędności, ‘miano z nim’ jakąkolwiek umowę …
    ( Zresztą na ‘jego” miejscu nigdy żadnej wiążącej bym z taką … firmą nie podpisywał. A w przypadku gdyby jednak – nieopatrznie – postarałbym się o jak najszybsze jej zakończenie – zanim się mleko wyleje)

    Ot i takie sobie perypetie Grażyn biznesu w Polsce…
    Tylko szkoda – że koniec końców – na tym ucierpią (znowu)/mogą ucierpieć inni – np. próbami oszustw, wyłudzeń i naciągań na kasę .

    • Grazyna biznesu?
      A mogla sie zatrudnic w Biedaronce albo Liedlu.
      Bo kto to widzial jakies startupy w Polsce.

    • Płacisz za literki na klawiaturze, że robisz takie dziwne skróty? Czy T9 masz jakiś ułomny, że nie podpowiada wyrazów? Jak na tyle wypocin te kilka skrótów woła o pomstę do nieba.

    • @Iion

      A mogła, mogła …
      Zastanawiam się czy zwrócił Kolega uwagę na znaczenie słowa “innowacyjny” w definicji (polskiej) słowa “startup”…

      BTW, było sobie kiedyś takie pismo które nazywało się Bravo (może nie wszyscy pamiętają) . I tam była, owszem, taka rubryka pod nazwą “napisz do Bravo” …

      @Mich

      Przepraszam, ma Kolega rację (postaram się poprawić na przyszłość :) ) – już rozwijam:
      – UODO oznacza Urząd Ochrony Danych Osobowych (po wejściu RODO przejął obowiązki GIODO)
      – RODO to Rozporządzenie o Ochronie Danych Osobowych (inaczej Rozporządzenie 2016/679)
      – GIODO – czyli Główny Inspektor Ochrony Danych Osobowych
      ;)

  7. “a administratorka nie udzieliła nam żadnych wyjaśnień.”
    I bardzo dobrze zrobiła. Już chyba totalnie odlecieliście skoro uważacie, że każdy ma się wam spowiadać.

    • Tutaj nie tyle chodzi o spowiedź, a na podanie informacji dla ludzi korzystających z serwisu, ale dowiadujących się o wycieku, na forum portalu Niebezpiecznik.
      Bo przecież ludzie mają prawo wiedzieć, kiedy, jak oraz co się stało z ich własnością – danymi osobowymi. Zapewne gdybyś sam znalazł się w takiej sytuacji i niedajboże, ktoś by to wykorzystał, sam pragnąłbyś się dowiedzieć co, jak i gdzie.

    • Ach! Błąd taktyczny!
      Gdyby przed zgłoszeniem kupiliby tam jakiegoś ciucha, to przynajmniej wiedzieliby czy klienci zostali powiadomieni :D

    • “Tutaj nie tyle chodzi o spowiedź, a na podanie informacji dla ludzi korzystających z serwisu, ale dowiadujących się o wycieku, na forum portalu Niebezpiecznik.”
      A czy niebezpiecznik oficjalnie reprezentuje klientów sklepu internetowego? O ile państwowe urzędy i instytucje “muszą” udzielać takich informacji, o tyle prywaciarze nie. I dobrze. Spowiadać to się mogą przed GIODO czy innym organem, który się za nich weźmie.

    • @Mich w moim przypadku, o incydentach dowiaduje się na takich właśnie “prywatnych” forach. Kto wie czy na oficjalnych stronach, gazetach czy może sam sklep by mnie poinformował o fakcie naruszenia moich danych. Zapewne by to zrobili, ale dopiero po fakcie, kiedy to moje dane zostały wykorzystane. Państwo też nie musi niczego mówić, gdyż każdy sam decyduje o podaniu informacji dla osób trzecich. Mimo iż czasem konieczne jest ich przekazanie aby ktoś kogo to dotyczy, mógł zareagować. W tym przypadku widać iż redaktor nie naciska, stwierdza fakt. Nie bombarduje informacjami typu: “Podaj informacje!”, tylko czeka na dobrowolną odpowiedź ze strony powiadomionego administratora. Moim zdaniem – nie ma co robić z igły widły, a tym bardziej tworzyć shitstorm ;)

    • @Mich owszem, admin nie musi odpowiadać osobom/firmom/instytucjom, jeśli prawo go do tego nie zobowiązuje. Nawet klientom/userom nie musi odpowiadać.
      Tak samo userzy nie muszą ufać jego serwisowi albo robić tam zakupów. Teraz połącz kropki.

  8. > przez jutuberkę [link]
    chryste, ostrzegajcie że link prowadzi do wideł z serii “na czasie” i wchodzenie bez hazmatu grozi trwałym kalectwem.

    > MARCYSIA CHCE USUNĄĆ TATUAŻE! *SZCZERZE DO BÓLU*
    > WIDZOWIE Z INSTAGRAMA DECYDUJĄ JAKIE ROBIĘ TATUAŻE! *REAKCJA EKIPY*

    a to tylko wierzchołek tej góry kupowej o którą prawie rozpłatałem swojego tytanika.

    Mam tylko nadzieje że jak jakieś patośmieci pokroju madżikali i innych rafoniksów wyciekną cokolwiek to RiGCzowo to przemilczycie…

  9. Sprawy bezpieczeństwa były zgłaszane do administracji jeśli chodzi o stronę wersow i ekipatonosi.. Oczywiście zero odzewu a maili trochę było wysłane. To nie jedyny problem bezpieczeństwa na tych stronach

  10. Hm.. dane byly dostepne po uzyciu sekwencji ktore nie byly ‘klikaniem w linki’
    Skoro tak to dokonano operacji ktore byly zakazane (no chyba ze Olegh mial zlecenie na audyt). Skoro tak to rozumeim ze zglosiliscie sprawe dla prokuratury z podaniem osoby ktora dokonala ‘wlamu’?
    A swoja droga – skoro kiecka sie nie podoba to mozna zawsze zwrocic a nie koniecznie robic wjazd na strone…

    • Lepiej jakby “audyt” zrobili ruscy hakerzy??? Oni nie powiadamiają ani danej firmy, ani Niebezpiecznika.

  11. ale o jakim ‘włamie’ Kolega myśli ?
    Kol. Olegh zauważył potencjalną podatność – nota bene widoczną dla każdego kto używał serwisu. Widoczną nie dlatego – że dokonał jakiegoś tam włamu, czy reverse engineeringu (jak sugeruje Kolega powyżej być może nie rozumiejąc znaczenia tych terminów) – tylko dlatego że przeglądarka internetowa (każda!) serwowała w tak fatalny – zeby nie napisać KARYGODNY – sposób otwarte, niezabezpieczone Dane Osobowe wielu innych ludzi….
    Nic dodać nic ująć.

    I dlatego nie wiem co by Kolega zrobił jakby zobaczył np. otwarte całą dobę (ba kilka dób) na oścież drzwi do domu swoich znajomych ? Bo ja sprawdziłbym z ulicy, zawołał, a potem – wobec BRAKU REAKCJI – najprawd. => tel na policję . Żeby nie być posądzonym o włamanie – ale jednocześnie zwrócić uwagę Odpowiednich Służb że coś się dzieje nie tak .
    Podobną rolę odegrał jak mniemam kol Olegh .

    Zamiast usprawiedliwiać ignorancję i łamanie prawa – oraz szastanie naszymi danymi – przez niewydarzone portale (i ich arogancką ekipę) jak na przykładzie – lepiej skupić się na poprawie bezpieczeństwa i wpływaniu na nią.

    Pozdrawiam

  12. Pytanie z nieco innej beczki: Jeśli dziurkę wykrył własny pracownik albo właściciel strony, to co? Założyć, że nikt inny tej dziury nie widział, cichcem poprawić i zapomnieć (-> zamieść pod dywan)? Czy jednak stalowe jaja i samodonos do UODO?

  13. “Sowa i przyjaciele” cz. II :D

  14. Na wordpress nie stawia sie sklepow, nie wiem skad ta moda, ale wordpress sluzy do wszystkiego i do niczego, naprawde.

  15. @Jarosław

    – tak od kilku lat dziwi mnie trochę ta tendencja do “jesli już nie na Fejsbucku to na WordPressie” . zupełnie jakby był to najlepszy (?) i jedyny engine “do wszystkiego” …
    Dawniej jedyny argument jaki , rozumiem, ze , przekonywał większość ludzi – to było może nie doskonale, ale bardzo wygodnie przygotowane pozycjonowanie – dobre indeksowanie stron i zawartości pod SEO … ale teraz, kiedy prawie kazdy engine ma to zrobione całkiem nieźle … ?

    Może działa tu fakt , że podobnie jak joomla, jest on (WP ) bardzo rozpowszechniony i popularny – oraz jako pochodna – biblioteka rozszerzeń. ale i tak nie zastąpi to dedykowanych rozwiązań IMHO. Takich jak np. Prestashop – pod portal sklepowy, Drupal jeśli chodzi o platformę CMSową czy inne . WordPress powstał jako wygodna i prosta platforma blogowa – i chyba teg odobrze się trzymać .

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: