21:12
19/2/2018

Kilka dni temu napisał do nas pewien zaniepokojony student. Po wejściu na stronę Politechniki Rzeszowskiej odkrył, że jego przeglądarka łączy się w dziwne miejsce. Student podejrzewał, że ktoś mógł zhackować stronę uczelni i wstrzyknąć złośliwy kod, np. taki, który — co zdarza się coraz częściej — na komputerze internauty “kopie” kryptowalutę (por. Uwaga na stronę Rzeczpospolitej, zawiera złośliwy skrypt).

Po krótkiej analizie okazało się, że wstrzyknięty skrypt to nie koparka kryptowalut, a link afiliacyjny (także rzeszowskiej) firmy G2A, która przez internet sprzedaje gry komputerowe. Innymi słowy, wyglądało to jakby uczelnia (albo ktoś kto w sposób nieautoryzowany wstrzyknął linka na jej strony) zarabiała pieniądze na każdym studencie, który dokonał transakcji zakupu w sklepie G2A. Ilu mogło być takich studentów? Ustaliliśmy, że link był wywoływany aż 4,5 miliona razy (!!!).

Dziwne połączenia z uczelnianej strony

Zacznijmy od kodu, który zauważył nasz Czytelnik:

<iframe src="hxxps://goo[.]gl/ptyXXX" width="1" height="1" style="display:none;visibility:visible;"></iframe>

(celowo zamazujemy URL, aby nie nabijać “referali”)

Ponieważ link jest skrócony przez skracacz Google, można podejrzeć jego statystyki

No ale przecież link mógł zostać także wstrzyknięty bez wiedzy uczelni i nie tylko na jej stronach. Przyjrzymy się więc, skąd było najwięcej wejść:

Pytanie tylko, dlaczego uczelnia robi coś takiego? Może to próba zdobycia środków na działalność statutową? A może efekt ataku? Skoro AGH niechcący kopała kryptowaluty to może i tutaj stało się coś niezależnego od uczelni?

Spokojnie! To tylko badania!

Nasz Czytelnik podesłał nam jeszcze odpowiedź, jaką na zgłoszenie błędu ze stroną odesłał mu sam administrator SIR & USOSweb.

Witam,
chciałbym wyjaśnić że nie doszło do żadnego ataku code injection, a link do portalu G2A został dodany w celu sporządzenia analizy i anonimowej statystyki dotyczącej m.in. zainteresowania produktami firmy G2A (która współpracuje z uczelnią) wśród osób w wieku studenckim.
Posiadamy dostęp do tego konta w portalu G2A. Ponieważ badanie zostało zakończone w styczniu to link powinien zostać usunięty kilka dni temu (nasze niedopatrzenie).
Dziękujemy za zainteresowanie tematem i troskę o bezpieczeństwo naszych serwisów internetowych.

Badanie? Uczelnia współpracująca z G2A przez reflinki, w dokładnie taki sposób w jaki są one wykorzystywane do “zarabiania” na nieświadomych ofiarach internetowych ataków (por. Uwaga na nowe oszustwo na Facebooku)? Ta historia robiła się coraz ciekawsza więc postanowiliśmy sami spytać o to uczelnię, tym razem przez rzecznika prasowego, bo w kościach czuliśmy, że będzie miał inne zdanie na ten temat niż Pan administrator.

To inicjatywa oddolna!

Rzecznik prasowy — pani Katarzyna Kadaj-Kuca — poinformowała nas, że ani Politechnika ani G2A nie wiedziały o badaniu (wytłuszczenia nasze).

Zamieszczenie linku do portalu G2A w systemie USOS Politechniki Rzeszowskiej było inicjatywą jednego z pracowników uczelni, który prowadził wyłącznie swoje badania statystyczne. Link ten został zamieszczony bez wiedzy Politechniki Rzeszowskiej i firmy G2A. Wobec pracownika zostaną wyciągnięte konsekwencje służbowe.
Żadne dane osobowe i studenckie użytkowników USOS nie zostały przekazane firmie G2A.
Umieszczenie linku umożliwiało wyłącznie badanie statyczne o charakterze częściowym, bez identyfikacji konkretnych osób. Dane i wyniki zostaną usunięte i nie będą nigdzie publikowane oraz udostępniane.

Ciężko oprzeć się wrażeniu, że oświadczenie uczelni to robienie dobrej miny do złej gry i forma trochę smutnego odcinania się od czegoś co najprawdopodobniej było nieprzemyślaną samowolką jednego z administratorów strony, który — chcemy w to wierzyć — rzeczywiście tylko zliczał ruch, a nie zarabiał na prowizjach.

Mamy nadzieję, że jak zwykle skuteczna i szybka w walce z oszustami firma G2A ubije mu konto za taką niezbyt etyczną zagrywkę.

Aktualizacja 20.02.2018, 7:06

Przedstawiciel G2A Maciej Kuc podziękował nam za informację na temat zaistniałej sytuacji.

Oczywiście jakiekolwiek nadużycie systemu Goldmine (a takim jest np. ukrycie linka) jest niezgodne z regulaminem. Dzięki Pana wiadomości konto już zostało zablokowane.

Zastanawia czy i ile ktoś mógł na tym zarobić. Niestety firma G2A nie jest pewna czy może takie informacje przekazać bez naruszania prawa.

PS. Zapewne dobrze wiecie, że od dawna śledzimy wpadki uczelni wyższych związane bezpieczeństwem. Mamy na ten temat trzy obszerne artykuły,. A obecnie zamykamy czwartą część tego cyklu. Więc jeśli zauważycie jakieś nieprawidłowości w systemach informatycznych Waszych uczelni, dajcie nam znać. Gwarantujemy anonimowość i niezależny “pressing” na władze uczelni w celu usunięcia błędów, które — co coraz częściej do nas dociera — irytują też niektórych wykładowców, ale “sami nie mogą z nimi nic zrobić i sprawa musi po prostu zostać opublikowana na Niebezpieczniku, żeby ktoś poszedł po rozum do głowy”. Bardzo nam miło, pozostajemy do usług! ;)

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. To na tym polega współpraca uczelni z G2A, labolatorum za darmo nie powstało :D

    • Co ciekawe studentów tam nie wpuszczają ;P

  2. Tja.. z nudów i dobrego serduszka robił ktoś sobie “badanka”. ;)
    Znów mało nie poparskałam ekranu i kiecki herbatą :P

  3. W afiliacji tego typu działania są (zazwyczaj) zakazane, jego konto powinno zostać zawieszone przez sieć afiliacyjną.

  4. Tia, a uczelnia zyskiwała złotówki za gry kupione przez studentów…

  5. Proponuję napisać maila do G2A i podać w nim tego reflinka – w ich interesie będzie nie wypłacać pieniędzy temu adminowi. No chyba, że to faktycznie były “badania”. :)

  6. Korupcja prawie w każdej polskiej szkole jest bardzo powszechna…

  7. Mówienie w takich wypadkach o użytkownikach jako ofiarach to absurd, bo żadna krzywda im się nie dzieje. Z punktu widzenia użytkownika nie ma żadnego znaczenia kto na nim zarobi. Jedyną ofiarą jest tu sklep, który płacił za reklamę, której tak na prawdę nie było. Nie rozumiem też jak to zachowanie admina, choć bez wątpienia nieetyczne, wiąże się z jakimś niebezpieczeństwem, że w takim kontekście jest ukazywane.

    • Chociażby dlatego, że taka osoba wykorzusyująca w sposób nieetyczny zajmowane stanowisko, może posunąć (albo nawet już kiedyś posunęła) się dalej, co mogło skutkować realnymi szkodami innychużytkowników. Są pewne stanowiska, na których jakiekolwiek tego typu zachowani są niedopuszczalne. Tym bardziej robione z pełną świadomością!

  8. Nie bardzo rozumiem, co z tego, że jest jakiś link w źródle strony ? tzn że ktoś ma potem ciasteczko, a potem jak kupi grę to na nim admin zarobi ? czy że wyskakiwało okno z ofertą sklepu i w ten sposób zarabiał admin ?

  9. Pamiętam jak na serwerach jednego z wydziałów na pk udostępniony był cały backup z poziomu www. Pewnie nadal tam leży

  10. Pikuś, zobaczcie sobie z czym komunikuje się strona bankier.pl :) tam każde kliknięcie wędruje na wschód.

  11. Wszystko można wytłumaczyć badaniem statystycznym. Czekam, kiedy złapany z łapówą w ręce “profesor” stwierdzi, że prowadził badania nad tym ile osób daje i jakie sumy, a po zakończeniu badania zamierzał zwrócić kasę.

  12. Biedny student znowu będzie musiał się cebulą odżywiać

  13. A przypadkiem USOS nie obsługuje studentów na Uniwersytecie Wrocławskim? Na Politechnice Wrocławskiej jest JSOS.

  14. To się nazywa cookie stuffing, w Usa w 2008 było głośno o tym, wyłudzali prowizje z programu partnerskiego ebay. Od tamtej pory jest to przestępstwo u nich, u nas jak widać jeszcze nie, choć podchodzi pod art 286. Bo przecież G2A musiało wypłacić prowizje za sprzedane gry, choć klienci nie klikali w ref linka bo klikał się sam. Jednym słowem straty poniosła albo firma G2A albo inny partner tej firmy którego ciasteczko zostało nadpisane i stracił prowizję.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.