10:27
8/9/2010

Tuż przed weekendem, jeden z naszych czytelników napisał nam: “Z niewiadomych przyczyn mam konto admina na Kciuku”. Skontaktowaliśmy się z rzecznikiem portalu O2 i przebadaliśmy sprawę. Wyszło dość wesoło…

Jestem adminem Kciuka! WTF?

Jednemu z naszych czytelników (dane do wiadomości redakcji) przytrafiła się nieprawdopodobna historia — po zalogowaniu się na Kciuk.pl nagle uzyskał dostęp do panelu administratora. Nie atakował serwisu, nie znalazł w nim żadnej dziury — po prostu zalogował się i bach! jest adminem… Marzenie każdego pentestera ;)

Kciuk w widoku administratora. Kliknięcie na zaznaczone linki przenosi do panelu admina.

Postanowiliśmy się w tej sprawie skontaktować z rzecznikiem grupy o2, Marcinem Kalkhoffem. Zapytaliśmy go dlaczego użytkownik znienacka uzyskał dostęp do funkcji administracyjnych serwisu pozwalających m.in. na usuwanie i modyfikowanie znalezisk, banowanie użytkowników, czy też edycję ich kont.

I tu należy mocno pochwalić czas reakcji o2! Marcin odpisał w przeciągu 30 min., mimo, że zaczął się już weekend i były okolice północy…

Odpowiedź Marcina: błąd został załatany i wynikał z integracji Kciuka z Facebookiem.

Niestety… nasz zaskoczony czytelnik, pomimo “załatania błędu”, dalej miał dostęp do panelu administracyjnego Kciuka…

Nietypowe błędy (bezpieczeństwa)

W ramach weekendowego relaksu, zapoznawszy się ze screenshotem konta czytelnika, wysnułem pewną hipotezę. Otóż, nasz użytkownik w widoku administracyjnym swojego konta miał zaklikniętą opcję “Zablokuj adres IP“…

Administratorski widok na konto naszego czytelnika w serwisie Kciuk.pl

Obstawiłem więc, że administrator Kciuka chciał za coś ukarać naszego czytelnika i postanowił odciąć mu dostęp do Kciuka, blokując jego adres IP. Niestety, opcja zablokuj adres IP w edycji konta użytkownika wcale nie blokuje jego adresu IP, ale nadaje mu uprawnienia do blokowania adresów IP innych użytkowników ;-)

Z abusera zrobił admina…

…i tak, jeden z moderatorów Kciuka (tych prawdziwych), z abusera zrobił admina ;-) Właściwie to z kilku abuserów, bo lista “administratorów” serwisu Kciuk zawierała kilka kont z podejrzanymi e-mailami typu “dupaX@hotmail.com”, więc zakładam, że przypadków było więcej niż 1.

Marcin z o2.pl, z którym podzieliłem się swoim odkryciem, potwierdził mój tok rozumowania:

Nadanie uprzywilejowanego dostępu jednemu z użytkowników serwisu kciuk.pl nastąpiło wskutek błędu jednego z moderatorów serwisu. Podjęliśmy wszelkie działania aby wykluczyć takie błędy w przyszłości.

Usability a bezpieczeństwo serwisu internetowego

I to już koniec krótkiej historii o tym, jak błędy typu usability mogą zdezorientować moderatora i w konsekwencji tego, przerodzić się w błędy bezpieczeństwa webaplikacji… Na szczęście nasz czytelnik nie miał złych zamiarów — bardziej od “demolowania” serwisów grupy o2 preferuje on żarty w stylu rly.pl ;-)

P.S. Każdej firmie, życzę tak szybkiej i profesjonalnej obsługi błędu, jak ta, którą miałem okazję obserwować w wykonaniu chłopaków z o2. I jeszcze raz podkreślam, że uzyskanie praw administratora serwisu Kciuk to wynik błędu człowieka, a nie dziury w kodzie serwisiu.

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. Jaka profesjonalna. Najpierw mówią że to przez Facebooka, potem, przyciśnięci do muru, że to inny błąd…

    • Hubert: nie bierzesz pod uwagę opcji, że w integracji z Facebookiem też mógł być błąd…

  2. Jak widać, Mikołaj jednak istnieje :)

  3. I wnioskuję po treści że, czasami jest łatwiej zrzucić na “system” niż na błąd ludzki.

  4. Rany! Kogo oni tam zatrudniają, jako moderatorów? Taki błąd! Widać, że nikt z Kciuka w logi nie patrzy, bo zakładam, że te dupne konta były gdzieś listowane na osobnej liście administratorów.

  5. “Raporty dla organów ścigania”
    fajna opcja O_O

  6. […] internetowemu, czy to małemu czy dużemu, zdarzają się od czasu do czasu wpadki. Jak donosi Niebezpiecznik.pl, niedawno w ten sposób popisał się portal o2.pl – zamiast zbanować użytkownika, zrobił […]

  7. “wynułem pewną hipotezę” – literówka ;)

  8. Zaraz, zaraz, to moderator jest winny temu, że przycisk, zablokuj IP działa niezgodnie z opisem?
    To, że ktoś odpisuje w nocy nie jest jeszcze oznaką profesjonalizmu.

  9. @PiotrB: Ja tam widzę powyżej tego “przycisku” opis: “Uprawnienia administracyjne”. Wspomniany więc przez Ciebie “przycisk” (a tak naprawdę checkbox) działa zgodnie z opisem — inna sprawa, że lepiej pasowałby tam trochę inny opis :>

    Co do profesjonalizmu, to nigdzie nie napisałem, że wynika on z “odpisywania w nocy”. Inne firmy w tego typu sytuacjach albo a) straszą nas sądem, zakazując publikacji b) całkiem olewają próbę kontaktu c) mówią, że naprawią i nie naprawiają. W stosunku do innych, reakcja o2.pl jest wzorowa.

  10. Ale żeby moderator miał wpływ na uprawnienia administracyjne to też trochę nie teges. Chyba, że to był inny administrator, który postanowił sobie pomoderować ;-)

  11. Podejrzewam że jest to jakiś cms przerobiony / przetłumaczony / rozwijany przez nich, a zaczęty przez kogoś innego i nieprzeszkolony admin po prostu opacznie zrozumiał tą opcję.

  12. @piotr konieczny racja

  13. @Piotr Konieczny : Ja również mam z nimi dobry kontakt.Na zgłoszenie błędu SQL injection w pytanie.o2.pl zareagowali i szybko błąd został załatany.Dostęp do information_schema nie było,ale do pozostałych tabel był bez ograniczeń listing nawet bez concata.
    @Anonimus : Interesujące jest jak ona działa. Musiałby istnieć specjalny kanał komunikacji do obsługi takich zgłoszeń.Jak jest nowy kanał komunikacji to musi być policjant,któremu przydzielono takie obowiązki…

  14. @Zen Vantalye: Nie chce się wypowiadać w tej kwestii, bo nie wiem jak działa ta opcja :> ale wkleję tutaj 32. punkt regulaminu serwisu kciuk.pl (http://www.kciuk.pl/Regulamin) — to powinno trochę wyjasnić działania wszystkich serwisów internetowych w Polsce (nie tylko tych z grupy o2):

    32. Free4Fresh oświadcza, iż wszystkie linki, komentarze, opinie, pliki oraz inne treści umieszczane w serwisie kciuk.pl są rejestrowane przez Free4Fresh, podobnie jak adresy IP, z jakich umieszczenie nastąpiło. Free4Fresh oświadcza, iż każdorazowo gdy zwracają się o to do Free4Fresh odpowiednie, uprawnione organy państwowe powołane do wykrywania, zapobiegania lub ścigania przestępstw, Free4Fresh udostępnia takim organom odpowiednie dane związane z funkcjonowaniem serwisu Kciuk.pl, w tym dane dotyczące IP użytkownika, który umieścił daną treść lub w inny sposób korzystał z serwisu Kciuk.pl, przy czym Free4Fresh działa w tym zakresie wyłącznie zgodnie z właściwymi przepisami prawa zobowiązującymi Free4Fresh do przekazania takich danych.

  15. @Piotr Konieczny 2010.09.08 16:01 | #
    “@PiotrB: Ja tam widzę powyżej tego “przycisku” opis: “Uprawnienia administracyjne”. Wspomniany więc przez Ciebie “przycisk” (a tak naprawdę checkbox) działa zgodnie z opisem — inna sprawa, że lepiej pasowałby tam trochę inny opis :>”
    I tu właśnie tkwi błąd, ideałem jest kiedy na hotline, moderacji itp. można posadzić “blondynkę po liceum” która czyta klientowi instrukcje / coś w tym stylu. Tu natomiast jest sytuacja odwrotna: moderator (często pewnie wolontariusz, albo pracownik za miskę ryżu, ma komunikat, którego nie rozumie.
    1) interfejs panelu admina jest źle zaprojektowany, ja dobrze wiem (i pewnie Ty też), że użytkownicy nie czytają komunikatów)
    2) ktoś źle przetłumaczył komunikaty.
    Oczywiście jest duże prawdopodobieństwo że w tym błędzie nie było winy o2 (czy kciuk.pl)

    Do profesjonalizmu:
    Na bezrybiu i rak ryba.
    Wiem, że firmy IT mają problem z zarządzaniem sytuacją kryzysową, wiem, że nie wszystkie. Niebezpiecznik powinien (IMO) pisać dużo o tym. W tej konkretnej sytuacji pojawił się problem z identyfikacją problemu (pierwotna kwalifikacja, że to był błąd związany z fb). Warto (znów IMO) takie rzeczy wypunktować, rozumiem pośpiech, ale może następny (czytający te słowa) admin/rzecznik się dodatkowo bardziej zastanowi (zada sobie pytanie, czy aby na pewno).

  16. Podziwiam was za profesjonalne podejście. Ja w całej tej sprawie najwięcej uwagi zwróciłem na “test wytrzymałości staników na kolejce górskiej”. Nic więc dziwnego, że mod zagapił się i kliknął gdzie nie powinien! Zagapić się na cycki jest rzeczą ludzką!

  17. […] torowiska bardzo przypomina wpadkę firmy O2, do której należy serwis kciuk.pl. Pewnego razu, administrator Kciuka, zamiast zbanować spamera, […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.