20:43
7/1/2014

Jeden z czytelników podesłał nam screenshot fragmentu bazy danych, twierdząc iż rzekomo jest to baza serwisu Wprost.pl (jak się okazało, nie była to prawda — chodzi o inny serwis Wprostu, gover.pl). Atakujący poinformował, że bazę zdobył poprzez podatność SQL injection znajdującą się w skryptach jednego z serwisów należącego do wydawcy AWR Wprost Sp. z o.o.

SQL injection w gover.pl

Informator dodał, że serwisem Wprostu posiadającym podatność SQL injection był gover.pl (który wygląda na nieaktualizowany o co najmniej roku) Czytelnik nie odpowiedział nam jednak na pytanie, czy zgłosił niniejszy błąd do właściciela serwisu. Postanowiliśmy więc sami zapytać redakcję Wprostu, czy są świadomi tej podatności.

Na e-maila skierowanego 27 grudnia do redakcji Wprost odpowiedział jeden z dziennikarzy, który obiecał skontaktować się z działem IT redakcji. Wstępnie wykluczono, jakoby dane miały pochodzić z serwisu Wprost, który dysponuje jedynie newsletterem i nie umożliwia rejestracji użytkownikom (a w podesłanym screenshocie znajdowały się hasze MD5 haseł).

Fragment bazy danych użytkowników Wprost.pl

Fragment bazy danych użytkowników Wprost.pl

W tę sobotę jednak Inga Michalewska, project manager Wprostu, przesłała nam następujące oświadczenie w sprawie włamania:

Dane na screenie pokrywają się z tymi z bazy danych serwisu gover.pl. W logach znajdują się wpisy świadczące o ataku “sql injection” dokonanym 23 i 26 grudnia tego roku. Usterka, która umożliwiała na dostęp do danych, została niezwłocznie usunięta. Jednocześnie sprawę zgłosimy na policję.

Nie wiemy, czy Wprost rozesłał do użytkowników gover.pl informacje o wycieku ich haseł, lub wymusił ich zmianę (próbujemy to ustalić). W między czasie, na wszelki wypadek, wszystkim z Was, którzy mieli konto w serwisie gover.pl polecamy jak najszybszą zmianę hasła — nie tylko “na Wproście” — ale także w każdym innym miejscu, w którym korzystaliście z tego samego hasła. Ale nie na to, które proponował dziś T-Mobile ;)

Konsekwencje nieautoryzowanych testów penetracyjnych

I na koniec, wszystkim wykonującym nieautoryzowane testy penetracyjne przypominamy o ryzyku z tym związanym. Jest wiele sposobów na to, aby robić to co się lubi legalnie i za pieniądze (np. nasz zespół bezpieczeństwa ciągle szuka nowych pentesterów — szczegóły w nagłówkach HTTP).

Przypominamy także formułkę, która widnieje nad naszym formularzem kontaktowym:

Chcesz wysłać coś poufnego? Użyj naszego klucza GPG. Nasz formularz bezproblemowo działa także z sieci TOR, która anonimizuje adres IP nadawcy. Na mocy Art. 15 prawa prasowego, redakcja Niebezpiecznika ma obowiązek chronić tożsamość swoich informatorów, o ile zastrzegą oni nieujawnianie swoich danych.

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. Wprost to chyba ci z Tel-Avivu czy się mylę?

  2. dajac wam screenabazy danych lub czesc samej bazy i dane ze wykradlem to z serwera, wydacie mnie ??!!

    • Jeśli na redakcyjny adres podsyłasz nam takie dane w celu napisania artykułu, to …napiszemy o tym artykuł. I tyle. Ale to wiąże się z weryfikacją nadesłanych informacji, czyli wysłaniem zapytania do “poszkodowanego” podmiotu, które ma na celu ustalenie, czy a) dane rzeczywiście pochodząc z ich serwerów, b) czy są świadomi podatności/ataku, c) co zrobią aby “obsłużyć” incydent. W zapytaniu nie przesyłamy danych informatora (a w tekście umieszczamy je tylko wtedy, jeśli ten sobie tego zażyczył — krótko mówiąc, można pozostać “anonimowym”).

      To nie zmienia jednak faktu, że jeśli “poszkodowany” zadecyduje o oddaniu sprawy na policję, to ta zapewne zwróci się do nas w celu przesłuchania nas w charakterze świadka na najbliższej komendzie w celu ustalenia danych sprawcy. W trakcie ewentualnego przesłuchania na komendzie tożsamość informatora (który być może jest sprawcą, ale przecież nie musi) jest chroniona przez prawo prasowe, a to znaczy, że my *nie* udostępniamy danych informatora bez nakazu sądu. Z postanowieniem sądowym jednak nie możemy już dyskutować (jako podmiot zarejestrowany w Polsce musimy przestrzegać polskiego prawa), dlatego jeśli nie jest się pewnym swojej niewinności, warto zadbać o swoją prywatność na wypadek gdyby sędzia zdecydował zwolnić nas z tajemnicy prawa prasowego — stąd też odpowiednie instrukcje znajdujące się nad naszym formularzem kontaktowym. Nie jestem w stanie jednak znaleźć ani jednego takiego przypadku, aby sąd nakazał ujawnienie źródła informacji/danych informatora — wygląda więc na to, że prawa prasowego się w Polsce przestrzega.

      Czasem jednak funkcjonariusze tylko dzwonią, bez oficjalnego wezwania na przesłuchanie, licząc na to, że ktoś kto nie zna prawa da się podejść (narażając się, na marginesie, na pozew cywilny) i przekaże w rozmowie z organami ścigania dane osobowe np. komentującego :-) My do tych osób nie należymy i w przypadku takich telefonów tłumaczymy funkcjonariuszom, kiedy możemy ujawnić takie dane (patrz akapit wyżej).

      PS. Na razie na komendę wzywało nas Oponeo, które po włamaniu (lub kradzieży danych z ich serwerów, nie pamiętam dokładnie) podejrzewało, że ataku dokonała grupa Jurassic Sec, a ktoś kto “procesował” tę sprawę zauważył, że na Niebezpieczniku jest na ich temat artykuł i chyba odniósł wrażenie, błędne, że ich znamy. Kilka razy funkcjonariusze dzwonili w sprawie ustalenia adresu IP komentujących w naszym serwisie — ale jak napisałem powyżej, telefon nie jest żadną podstawą do udzielenia takich informacji — jak na razie, w żadnej z tych spraw nie doczekaliśmy się oficjalnego wezwania. Być może dlatego, że policjanci zajmujący się przestępstwami komputerowymi w dużej mierze są bardzo rozsądni i doskonale zdają sobie sprawę z tego, że osoba korzystająca z TOR-a jest ciężka do złapania. Wszystko jednak zapewne zależy od tego, jakie są naciski i jak ważna jest sprawa…

    • Chwilka. Wydawało mi się, że prawo prasowe to jednak tylko prawo, a nie obowiązek. Tj. możesz skorzystać z tego prawa, JEŻELI chcesz chronić dane osoby komentującej, ale chyba nie masz OBOWIĄZKU chronienia tych danych. Z jakiego przepisu miałoby to wynikać? I na jakiej zasadzie grozi Ci proces cywilny, jeżeli wydasz policji przez telefon adres IP komentującego? A jeżeli wydasz go na komendzie będąc przesłuchiwany w charakterze świadka?
      I w ogóle jesteś pewien, że stosuje się tu prawo prasowe?

    • Proces cywilny np. za nieuprawnione przekazanie danych osobowych. Co do reszty: Niebezpiecznik korzysta z prawa prasowego do ochrony danych osobowych informatorów, bez wyjątku.

  3. site:gover.pl inurl:id

  4. to oczywiste ze jak sie bawic to jedynie na livecd + vpn + tor
    polecam TAILS

  5. Proszę: http://www.gover.pl/images/wykresy/%5Bcut%5D

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.