11:53
12/4/2018

Jeśli gdzieś na serwerze umieściliście pliki zawierające hasła, to pamiętajcie że często można je łatwo namierzyć, a ciekawskich nie brakuje. Właśnie w taki sposób nasz Czytelnik dokopał się do prototypu systemu krakowskiego muzeum. Nie bardzo to groźne, ale ciekawe!

Google Hacking wciąż żywy

Wśród tych, którzy do nas piszą, obserwujemy wzmożoną aktywność w zakresie tzw. Google Dorks. Może to efekt publikacji przez nas w ostatnich tygodniach tekstów o uczelniach lub wycieku danych osobowych znanych aktorów oraz modelek, a może tylko przypadek? W każdym razie nasz Czytelnik Kamil postanowił przeszperać wyniki Google dla frazy…

Index of / +haslo.txt

…i na jednej z wyszukanych stron znalazł coś takiego:

MOCAK to Muzeum Sztuki Współczesnej w Krakowie. Plik o nazwie wystawa.php zdaje się od razu potwierdzać, że chodzi o tę właśnie instytucje. Katalogi o nazwach “hasła” i “projektory” wyglądają na bardzo ciekawe eksponaty. Czytelnik odnalazł w nich hasła pozwalające m.in. na logowanie do logowanieadm.php. To z kolei, jak można się domyślić, dawało dostęp do interesującego panelu, w którym było widać adresy MAC urządzeń oraz coś, co wyglądało na panel sterowania projektorami w muzeum.

Nasz Czytelnik nie chciał sprawdzać, czy możliwe jest narobienie bałaganu w MOCAK-u. Zresztą MOCAK to specyficzne muzeum, jest szansa, że nawet jakby podmienić tam treści “od czapy”, to i tak żaden z odwiedzających wystawę by tego nie uznał za anomalię. A może nawet “zdeface’owana” treść dostałaby jakąś nagrodę?

My również nie chcieliśmy sprawdzać, co się stanie po podmianie, więc po prostu daliśmy znać rzecznikowi prasowemu muzeum. Krótko później zadzwonił do nas kierownik działu IT, który przedstawił nam wstępne uspokajające wyjaśnienia — skrypty nie pozwalały na sterowanie projektorami i nigdy “nie działały” poza siecią muzeum.

Reakcja nowoczesnego muzeum jest nowoczesna

Nawiasem mówiąc ludzie z MOCAK-u znają Niebezpiecznika i czytają go. Kierownik działu IT zaczął z nami rozmowę od podziękowań i zachęcił nas i Was do dalszych poszukiwań dla dobra bezpieczeństwa. To rzadko spotykana i godna pochwały reakcja. Challenge accepted :)

Nieco później otrzymaliśmy obszerniejsze, pisemne wyjaśnienie od rzecznika:

Bardzo dziękujemy za przekazane informacje. W rzeczy samej, wskazane pliki są prototypem prostego systemu, który miał ułatwiać zarządzanie odtwarzaczami multimedialnymi Muzeum. Zarządzanie tymi urządzeniami jest możliwe wyłącznie z wewnętrznej infrastruktury Muzeum. Pliki znalezione przez Państwa zostały kilka lat temu umieszczone na serwerze hostingowym w ramach otwartych testów. Przygotowywany projekt nie został jednak nigdy ostatecznie wdrożony.

Od tego czasu zmieniono już urządzenia służące do odtwarzania mediów, a także sposób zarządzania treścią. Poza samą ideą sterowania systemem, który został już wycofany z użytku, wyszukane pliki nie zawierały żadnych danych związanych z działalnością Muzeum, a wyszukane “hasła” nie są zgodne z polityką haseł Muzeum i służyły wyłącznie testom tej aplikacji na bardzo początkowym etapie.

W naszej ocenie ujawnienie tych plików nie stanowi zagrożenia dla działalności Muzeum.
Testy zostały dawno zakończone, a pierwsze wersje plików nie zostały usunięte z serwera hostingowego. Bardzo dziękujemy za ich wskazanie – zlecono ich niezwłoczne usunięcie.

I rzeczywiście, pliki nie są już dostępne na stronie, na której się znajdowały. Można powiedzieć “nic się nie stało, rozejść się”, ale historyjka i tak jest godna opisania. Zwykłe wyszukiwanie Google pozwala znaleźć różne rzeczy, włącznie ze śladami poważnych wycieków (tak jak w przypadku wycieku danych tysięcy znanych i mniej znanych aktorów oraz modelek). Niestety, mamy “w realizacji” także inne zgłoszenia ciekawych incydentów odnalezionych w ten sposób. Czekamy aż dane “znikną” z wyników wyszukiwania i będziemy je opisywać.

Wrażliwe dane Twojej firmy też mogą być publicznie dostępne

Dlatego na wszelki wypadek wpiszcie sobie w Google:

site: mojadomena.pl

i dokładnie przejrzyjcie, czy nie widać przypadkiem czegoś, co widoczne być nie powinno. Pamiętajcie też, że Google Hacking to tylko jedna z technik “namierzania” poufnych danych w publicznie dostępnym internecie. Zarówno na naszych szkoleniach z Atakowania i Ochrony Webaplikacji jak i Bezpieczeństwo Sieci Komputerowych (Testy Penetracyjne) pokazujemy kilka innych sposobów na wyciągnięcie przydatnych informacji “z internetu”. Na szkolenia oczywiście zapraszamy — oba są regularnie realizowane w największych polskich miastach. Najbliższe terminy i możliwość rezerwacji miejsca znajdziecie tutaj.

Przeczytaj także:

7 komentarzy

Dodaj komentarz
  1. data plików rzeczywiście sugeruje że stara sprawa

  2. a co w przypadku jak akademia muzyczna “udostępnia” w podobny sposób różne dokumenty z których można skopiować ręczny podpis?

  3. Skoro to muzeum to i pliki muszą być stare. To chyba oczywiste.

    • Dzięki, wesoło zacząłem piątek :D

    • dobre;)

  4. najbardziej coz poruszajaca rzecza jaka mialem oazje przezyc to przypadkowe skopiowanie serwera ruskiego hakera-diler darknetowego, oprocz cennych pdf mial garsci rzadowych dokumentow usa i spora kolekcje ktora z kazdego zrobi terroryste oczywiscie robots txt jednak mu obce miimo ze intele hackuje jeden po drugim bo taki plik z logiem z zmiannych lokalnych kilkluset kompow tez byl, wszystkie intel, ruscy maja obsesje na punkcie wywiadu :)

    • Akurat robots.txt jest regularnie olewane także przez Wujka Duże G. Mało tego, jak do części serwisu zabronisz im dostępu to w praktyce robi się to dla nich bardziej interesujące i odwiedziny bota się mocno nasilają. To już nie ten sam Wujek, co jeszcze kilka lat temu… Z drugiej strony wpisy w tym pliku są dla wielu osób i robotów wskazówką do czego się należy dobijać wracając co jakiś czas mimo zakazu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.