8:48
14/4/2018

W czwartek wieczorem ze sklepem internetowym firmy MISBHV, która sprzedaje bardzo drogie młodzieżowe ubrania na całym świecie, także w Polsce, stało się coś złego. Na naszą redakcyjną skrzynkę od wielu Czytelników spłynęło sporo informacji w tej sprawie. Podsumowujemy je poniżej:

polska marka stritłerowa trzyma na serwerze pdfy z danymi klientów do wysyłki. Imię, Nazwisko, Nr telefonu i oczywiście adres.

Według innego z Czytelników, serwer firmy MISBHV posiadał poważniejszy problem niż błędną konfiguracje udostępniającą PDF-y z danymi osobowymi klientów. Ktoś wrzucił na niego webshella co — wedle naszego Czytelnika — miało spowodować umożliwienia pobrania 19GB danych z bazy sklepu:

Koło godziny 23:47 (czasu Polskiego) w czwartek aka 12.04.2018 na stronie polskiej marki odziezowej misbhv.pl (misbhv.com) baza danych nagle została otworzona, przez co 19gb danych uległo publicznemu objawieniu – w tym dane klientów – ich adresy, nazwiska itp.

Ciężko jest powiedzieć, czy webshell to wynik tego, że ktoś zwrócił uwagę na niezabezpieczony serwer MISBHV po tym, jak internet obiegła wiadomość, że firma przez błąd konfiguracyjny dopuściła się wycieku danych osobowych klientów — czy może samo ujawnienie przechowywanych w tzw. “głębokim ukryciu” PDF-ów z danymi klientów było wynikiem wrzucenia webshella po odnalezieniu innej podatności. Możliwe jest też, że webshell był tam od początku — znamy administratorów, którzy korzystają z webshelli (i zostawiają je na serwerach produkcyjnych) aby… ułatwić sobie zarządzanie serwerem.

Wedle relacji na stronie MEMEBHV (parodiującej markę MISBHV) można było nawet modyfikować zapisy w bazie. Oto jeden z URL jaki opublikowano na tamtej stronie:

http://misbhv.com/media/xmlconnect/themes/updatebillinginformation/Tobiasz

A ktoś nawet podmienił zawartość strony głównej:

Reakcja sklepu MISBEHAVE

W odpowiedzi na pytania klientów, marka wysyłała następujący komunikat:

Oświadczenie jest prawdziwe, choć całej prawdy nie mówi. Wycieku danych bankowych (domyślamy się, że przez to pojęcie marka rozumie login i hasło klienta do jego konta bankowego, którym opłacał internetowe zakupy) nie doszło. Ale doszło do wycieku innych danych, o którym to marka w odpowiedzi do klienta nie wspomina… Po wejściu w życie GDPR/RODO to nie byłoby takie łatwe…

Ale to nie jedyna reakcja marki na pojawiające się w internecie wiadomości o błędzie serwera który skutkował udostępnieniem światu faktur z danymi osobowymi klientów. Administrator fanpage, na którym pojawiły się informacje o wycieku dostał takie oto “ostrzeżenie”, które odebrał jako groźbę:

Nie mniej jednak, na parodiującym marke profilu pojawiło się dziś takie oświadczenie:

Przepraszam markę MISBHV oraz wszystkich, który poczuli się urażeni moim postem. Wczoraj przeglądając stronę misbhv.pl źle skopiowalem link, co skutkowało ukazaniem się moim oczom ogólnodostępnych katalogów zdjęć ze strony. Przeglądając je razem z fanami trafiliśmy na folder, który zawierał zdjęcia naklejek na paczki wysyłane kurierem. Zawierały one imię, nazwisko jak i adres odbiorcy. Udostępniłem informację o tym, że każdy ma dostęp do danych zamawiajacych, a sama baza nie jest w żaden sposób zabezpieczona. 
Żałuję tej decyzji, powinienem był natychmiast zgłosić ten błąd. Wszystkich, którzy poczuli się dotknięci moim zachowaniem z całego serca przepraszam.

W zwiazku z tym incydentem, mamy dwie rady.

    Pierwsza dla każdego, kto znajdzie błąd na czyimś serwisie WWW. Zanim opublikujecie o tym informacje w internecie, dajcie znać administratorowi serwera. Pomyłki zdarzają się najlepszym. Warto dać im szansę na naprawę, a nie szukać swoich 5 minut sławy. Co więcej, coś co może się Wam wydawać niewinnym błędem, dla bardziej wprawnego oka może okazać się błędem, który pozwoli na wyrządzenie o wiele większych szkód (np. wgranie albo odnalezienie już wgranego webshella). Pamiętajcie też, że od roku możecie szukać błędów na czyimś systemie legalnie (pod pewnymi warunkami) i również legalnie zgłaszać swoje znaleziska administratorowi bez narażania się na odpowiedzialność (por. Nie musisz już zakładać kominiarki do komputera — korzystna zmiana Kodeksu karnego dla szukających błędów komputerowych)

    Druga rada przeznaczona jest dla właściciela serwera, z którego przez błędną konfigurację wprowadzoną przypadkowo lub świadomie wyciekają dane. Don’t miss behave ;) A poważniej: do incydentu trzeba się przyznać. Rzetelnie poinformować co wyciekło, do czego był dostęp. Wysyłanie niepełnych komunikatów do klientów wyjdzie na jaw. Straszenie kogoś postępowaniem karnym też (pamiętajcie też, że samo grożenie postępowaniem też może być karalne). Takie działanie to prosty przepis na to, aby sprawa została jeszcze bardziej rozdmuchana. Przykładowo, różne redakcje w Polsce (w tym nasza) dziennie dostają wiele zgłoszeń o “wyciekach” danych w postaci danych z faktur/nalepek i nie nagłaśniają każdego z nich, zwłaszcza jeśli dotyczy on małoznanej marki i ma niewielki zakres. Ale jeśli do redakcji dojdzie informacja, że marka rozpoczyna prawną batalię, to jest to juz jak najbardziej interesujący temat, na który może pojawić się artykuł.

    My z ciekawością będziemy przyglądać się temu, jak przebiegnie to zgłoszenie i postępowanie oraz interpretacja przez prokuraturę przepisów i całości wydarzenia.

Do sklepu MISBHV wysłaliśmy pytania w sprawie tego incydentu. Kiedy otrzymamy odpowiedź, opublikujemy ją w aktualizacji.


Aktualizacja 14.04.2018, 15:58
Otrzymaliśmy oświadczenie sklepu:

Serdeczne pozdrowienia!
W nocy z dwunastego na trzynastego kwietnia, po godzinie 23:00, doszło do ataku na prywatne dane części naszych klientów.
Do nieuprawnionego złamania dostępu do serwera doszło za pośrednictwem “backdoora” – poprzez działanie podmiotu zewnętrznego na kilkanaście minut doszło do otwarcia zabezpieczonych i ukrytych plików służących do usprawnienia bieżącej pracy kurierów. Pliki te, ze swego założenia tymczasowe (kasujące się samoczynnie po zrealizowaniu wysyłki kurierskiej) najprawdopodobniej w wyniku błędu twórcy skryptu gromadziły się na serwerze. Pliki były jednak w 100% zabezpieczone i niedostępne dla nikogo bez odpowiednich uprawnień.
Atak zbiegł się w czasie z aktywnością Pana Bartosza Jurka, który na swoim profilu opublikował prywatne dane osób fizycznych, głównie Polaków, będących klientami marki – nawołując do plądrowania i dalszego przekazywania sobie ich danych prywatnych.
Administrator profilu, mimo pełnej świadomości wagi swojego czynu nie tylko sam złamał prawo udostępniając dane osób prywatnych, ale również namawiał do tego swoich “fanów”. To, co miało być atakiem na naszą firmę przerodziło się, de facto, w bezpośredni atak na naszych klientów.
Wyciek został zatrzymany w 10 minut. Serwis został ponownie zabezpieczony a żadne dane wrażliwe nie doznały uszczerbku.
Nie boimy się złośliwości czy personalnych ataków – kiedy w grę wchodzi jednak dobro niewinnych klientów nie możemy pozostać bezczynni.
Przepraszamy naszych klientów za zaistniałe zamieszanie. Pomimo bardzo sprawnej reakcji, pomimo tego, że agresja dotyczyła jedynie wąskiej grupy naszych klientów i nie zagroziła danym wrażliwym jest bezsprzecznie winą naszą oraz administratora naszego serwisu niedostateczne zabezpieczenie przed tego typu atakiem.
Z wyrazami szacunku,
zespół M I S B H V

Firma wspomina o backdoorze. Chodzi zapewne o webshella, którego screen przytoczyliśmy w artykule. Co ciekawe, data jego ulokowania na serwerze sugeruje, że był on na nim obecny od 2 miesięcy! MISBHV informuje również, że dane klientów były “zabezpieczone” i przechowywane na serwerze tylko na czas wysyłki produktów, ale “w wyniku błędu” gromadziły się na serwerze — jak widać na screenshotach, od ponad roku. Firma informuje, ze Bartosz Jurek nawoływał do plądrowania i dalszego przekazywania sobie danych klientów. Nie udało nam się tego potwierdzić, ale dotarliśmy do treści usuniętego już postu, który Bartosz Jurek umieścił na swoim fanpage. Nie nam oceniać czy jest to nawoływanie do plądrowania i czy MISBHV stawiając takie zarzuty dysponuje innymi dowodami:

Firma MISBHV odpowiedziała tylko na część naszych pytań. Oto pytania, na które nie otrzymaliśmy odpowiedzi:

4. Dane na temat ilu klientów były dostępne na serwerze w formie plików PDF w czwartek 12 kwietnia 2018?

5. Czy prawdą jest, że złożyliście Państwo zawiadomienie do prokuratury rejonowej w sprawie popełnienia przestępstwa przez administratora fanpage MEMEBHV z art. 267 p. 1 oraz 267 p.4 KK?

6. Czy poinformowaliście już Państwo o niniejszym incydencie Waszych klientów, którzy dokonali zakupu, a których dane znajdowały się w czwartek 12 kwietnia 2018 na serwerze i były publicznie dostępne, przez co mogły zostać pozyskane przez każdego internautę? Jeśli nie, kiedy taki komunikat zostanie wysłany?


Aktualizacja 18.04.2018, 13:28
Teraz okazuje się, że ktoś bezpieczne dane klientów odbezpieczył…


Przeczytaj także:

45 komentarzy

Dodaj komentarz
  1. Ja się pytam kto kupuje tak absurdalnie drogie rzeczy , które w sumie nie są takie fajne :)

    • Kupują je ci, dla których fajne jest to, że kupili coś drogiego, a nie właśnie fajnego.

    • A od kiedy to twój gust i twoje możliwości finansowe są wyznacznikiem czegokolwiek? Są ludzie, których na to stać i im się podoba. Nie twoja kasa, nie twój strój nie twój problem.
      Spokojnie mogę założyć, że ciuchy,które kupujesz to badziew i trzeba być skończonym bezguściem, aby coś takiego założyć, Do tego kupowany pewnie na kilogramy albo za 5 PLN..

  2. Trzecia rada do admina: pod komunikatami wypada się podpisywać.

    Kompletnie nie znam tej marki i nigdy o niej nie słyszałem. Zaglądając na ich stronę widzę bałagan, brak danych kontaktowych innych niż e-mail, żadnego adresu poza tym w regulaminie, a regulamin sklepu nie ma daty modyfikacji czy powstania danej wersji (choć dają sobie możliwość dowolnej jego zmiany). Dokładając do tego odwołania do przeglądarki IE w wersji 7 w kodzie to ja nie wiem czy nie należałoby tej strony traktować inaczej niż jakiś przekręt.

  3. A żadnej informacji kto zgłosił?

    • Prawdopodobnie chciał zachować anonimowość.

  4. ” i nie nagłaśniają każdego z nich, zwłaszcza jeśli dotyczy on małoznanej marki i ma niewielki zakres. Ale jeśli do redakcji dojdzie informacja, że marka rozpoczyna prawną batalię, to jest to juz jak najbardziej interesujący temat, na który może pojawić się artykuł.”

    mały wyciek – mało osób czytających artykuł

    DUŻY WYCIEK – DUŻO osób czytających artykuł.

    …jak na to się mówi?!
    ” robienie pod publikę”?!

    • Jakbysmy mieli pisac o kazdym braku BCC lub o kazdym kto znalazl fakture na czyjes dane w liscie adresowanym do siebie, to nic innego bysmy nie robili, bo takich spraw jest masa. Jesli gdziekolwiek liczba ofiar jest znaczna albo incydent ma cos odrobine nowego w stosunku do dziesiatek juz podobnych opisanych na naszych lamach, to zawsze to opisujemy. Kiedys, jesli starczy nam sil, zrobimy moze miesieczny post, “w kwietniu o bcc zapomnieli: lista, fakture/umowe z cudzymi danymi podeslali nie tym co trzeba: lista” itp.

    • Piotr, to może chociaż licznik zgłoszeń podzielony na kilka kategorii? ;)

    • Dobry pomysł.

    • Może Niebezpiecznik powinien mieć forum…o wyciekach nawet tych pojedynczych można by informować w tematach. Albo też dostać pomoc od innych użytkowników. Społeczność Niebezpiecznika ciągle się powiększa :)

    • @A, to jest bardzo dobry pomysł. Niestety, redakcja preferuje dyskusje na Twitterze i Facebooku. A szkoda, bo w ten sposób wspierają monopolistów.

    • Mamy grupę na linkedin

  5. Wieczna beka z białorycerzy zgłaszających błędy bez bug Bounty (nie dotyczy open source). Medal chciałeś?

    • Takie rzeczy to sprzedaje się po ruskich torach a nie bawi w białoczapkę. ;] Nie w cebulandii, gdzie ladmini jedyne co potraiąto wyskakiwanie z prokuraturą.

  6. Poradźcie się kogoś w temacie gróźb bezprawnych, bo na linkowanej przez was wiki, jest to dokładnie to opisane :

    “Nie stanowi groźby zapowiedź spowodowania postępowania karnego, jeżeli ma ona jedynie na celu ochronę prawa naruszonego przestępstwem.”

    Bo z waszego opisu można wywnioskować analogię, że podczas kolizji, informowanie sprawcy, że wezwie się policję, stanowi groźbę bezprawną.

    • Nie można.

    • Panie Marku, ma Pan racje. Jesli podmiot poszkodowany uznaje, ze wypelnione zostaly znamione przestepstwa oczywistym jest, ze nie ma przeslanek by nie informowac o tym strony.

    • Z ciekawości – na jakiej podstawie “groźba bezprawna” podlega karze?
      IANAL, ale w KK nie widzę penalizacji “groźby bezprawnej”, a jedynie jej definicję.
      Karalna jest tylko “groźba popełnienie przestępstwa”.

  7. nie ma dnia żeby nie było zgłoszenia wycieku-macie pełne ręce roboty

    • Oplaca się wyciec teraz niż po RODO, więc wygląda na to, że część firm z tego korzysta :)

    • tania reklama. Kopiujemy pol ksiazki teleadresowej z przekreconymi danymi, puszczamy jako ‘wyciek’, po pol dnia puszczamy info ze to byl ‘honeypot’ i patrzymy jak rosnie zaufanie do marki i ilosc odwiedzin. Kto by odwiedzal ‘misbehave’? Pies z ukreconym ogonem o nich nie slyszal. A tak maja publicity za frico (Prawda panie redahtorze ze za frico?)
      Niech mowia zle ale dobrze – oby nie przekrecali azwiska…

  8. Nie omieszkałem przyjrzeć się ich serwisowi od strony ochrony danych osobowych a tam… Brak zgody na przetwarzanie danych podczas zakładania konta czy zapisywania się na newsletter, kto jest administratorem danych trzeba wygrzebywać z privacy policy, która nie jest napisana w języku polskim. Zbioru danych osobowych w rejestrze e-GIODO nie udało się znaleźć. W regulaminie znajdziemy zapis “Podanie danych osobowych i adresowych jest równoznaczne z wyrażeniem dobrowolnej zgody na przetwarzanie danych do celów marketingowych wyłącznie przez Sklep” – który jest nieprawidłowy” – podanie danych nie zastępuje wyrażenia zgody.

    • 1. Czekamy do 25 maja
      2. Pod… eee, znaczy się nasyłamy inspekcję
      3. inspekcja dowala 250k/dzień kary w zw. z RODO
      4. ???
      5. PROFIT!

  9. Nazwy plików z danymi są numerami etykiet adresowych UPS.

  10. Komu wierzyc – firmie, ktora odniosla jakby nie bylo duzy sukces za granica czy tworcy memow, ktory chcial zrobic aferke cudzym kosztem? Tak czy inaczej – dane udostepnil profil na Facebooku.

    • Profil na facebooku udostępnił link do danych udostępnionych na publicznie dostępnym serwerze.

  11. O jakiej to tajemnej inspekcji mówisz? O paru osobach w GIODO które muszą się przemienić w UODO? Jeśli ktoś myśli że 25 maja obudzi się w lepszym świecie to się obudzi… z ręką w nocniku.

  12. Macie fajny szablon artykułu na następne podobne przypadki.

    W domyślnych instalacjach Prestashopa ani Magento nie ma modułu do usuwania zrealizowanych zamówień starszych niż np tydzień, także jak znam życie, to w używanych instalacjach tych sklepów siedzą dane klientów z ostatnich XX lat.
    Nie ma też modułu do szyfrowania danych klientów w sklepowej bazie danych.

    W dodatku, póki taki sklep działa, to się nie rusza, przeważnie nawet nie aktualizuje, żeby czegoś nie popsuć.
    Także pod RODO szykują się “ciekawe czasy”. :D

    Pozdro

    • Wymiecie male sklepy. Zostana tylko duze ulokowane na Antylach Holenderskich…

    • Liberland wystarczy ;)
      Zresztą już widzę listonosza doręczającego pismo z jakiejś eurokołchozowej instytucji na Liberty Street, zatrzymanego przez chorwacką policję graniczną za próbę dostania się do Liberlandu ;)

  13. co trafi do internetu juz w nim zostaje … Panie Piotrze K. po Pana interpretacji mozna dojsc do wniosku ze na dzien przed wejsciem w zycie RODO z powodu “higieny” administracyjnej admini powinni poinformowac o mozliwym incydencie bez znaczenia a dotyczacym wycieku ” czegos tam ” tak na wszelki wypadek … :) tzw. dupochron ,a MISBHV niech szuka swoich danych w internecie a takie grozby bo gosc cos znalazl to mozna dojsc do wniosku ze MISBHY wyzyskuje prokurature i policje … no bo goscie na pewno pojechali do Bartosza J. i zabezpieczyli mu wszystko w domu, tylko czy dolozyli najwyzszej starannosci i zabezpieczyli wszystkie komputery i telefony w sieci MISBHY , w domu wszystkich pracownikow i kooperantow MISBHY … no bo kazdy sledczy wie ze najciemniej pod latarnia … a niezabezpieczenie wszystkich zrodel dowodow jest przeciez przestepstwem sciganym z urzedu …

  14. Hmm,

    po pierwsze fakt, że backdoor został umieszczony na serwerze dwa miesiące temu świadczy tylko o jednym – o tym, że pierwsza próba włamania została dokonana dwa miesiące temu. Nie warto nic insynuowac sztuka dla sztuki. Z oświadczenia firmy i z postów na Facebooku Bartosza J. wynika przeciez bardzo spójna wersja zdarzeń – czyli, że link został otwarty i udostępniony po 23 (kiedy zespół IT nie powinien był zareagować).

    Sprawa wydaje się oczywista i trudno dziwić się, że firma będzie dochodzić swojej sprawy w sądzie. Nie zmienia to faktu, ze serwis tak znanej marki powinien być lepiej zabezpieczony – na plus jednak trzeba zaliczyć ich szybką reakcję, w zasadzie w środku nocy. A próba jakiegoś najwyraźniej osobistego rewanżu (wystarczy spojrzec co publikuje ten profil) za cene kradziezy danych i odarcia ludzi z prywatnosci jest skandaliczna.

    • Jak napisał już Piotr w aktualizacji – to nie backdoor, a webshell. Odkopanie linka na serwerze do otwartych, niezaszyfrowanych danych to nie włamanie. I można sobie darować eufemizmy, że serwis “(…) powinien być lepiej zabezpieczony”. Cześć bazy klientów była zupełnie niezabezpieczona. Firma odstawiła kompletną amatorkę w zarządzaniu wrażliwymi danymi. Dochodzenie sprawy w sądzie jeszcze bardziej ją nagłośni, co będzie kolejną porażką, tym razem wizerunkową.

    • Niezła próba ocieplenia wizerunku misbhv. “Lepiej zabezpieczony” masz na myśli “jakkolwiek zabezpieczony”? Plus co ma webshell do tego, że dane były dostępne dla każdego? Zobaczyłem tez na content tego profilu i widzę tam tylko memy, gdzie ta próba “osobistego rewanżu”?

  15. ze screenshota „udostępnił na swoim peju”

    Na swoim zaganiaczu, kogucie, wężu, kapucynie, berle, siusiaku, penisie?
    To jedyne moje skojarzenia z tym określeniem.

  16. Co wy z tym RODO, że niby po 25 maja się zacznie. Tak jakby do tej pory nie było przepisów o ochronie danych osobowych, które de facto są bardziej rygorystyczne niż te, które będą obowiązywały po 25 maja.

  17. Siema. kojazy ktos tego webshella? fajnie wyglada dorzuce do kolekcji :D

    • ALFA TEaM SHeLL a.k.a. ALFA SHELL

  18. Najgorzej jak google to zaindeksuje to wtedy dużo czasu upłynie nawet jak właściciel odrazu zareaguje podejmując kroki niezbędne do wyindeksowania.

  19. Chyba niechcący przysłużyliście się tej firmie. Ja też z ciekawości wszedłem i jak widzę takich ja jest wielu. Reakcja sklepu, ich strona ale przede wszystkim “styl” asortymentu sprawiają że na pewno nic u nich nie kupię.

    Ps. widzę w komentarzach powtarzany marketingowy bełkot łączący cenę ze stylem i jakością. Stajemy przed lustrem i powtarzamy do skutku: Wbrew temu co mi nakłamano z ceny nie wynika jakość ani styl.

    Pewna minimalna cena jest warunkiem koniecznym do osiągnięcia jakości ale nie ma takiej ceny która jest warunkiem dostatecznym osiągnięcia jakości lub stylu. W skrócie może być drogo i byle jak i bez stylu.

    • Wypisz wymaluj produkty z logo jabłuszka ;o)

  20. “Nie ma takiego miasta Londyn. Jest Lądek, Lądek Zdrój”
    Nie ma takiego “zwrotu” jak “miss behave”, jest “misbehave” ;D

  21. największe zdziwienie, że takie karykaturalne bezguście ktoś kupuje, o mało się nie porzygałem na tej stronie. to jest prawdziwe ZUUUOOO, estetyczny i finasowy gwałt.

  22. Niech mnie ktos oswieci czy okreslenie “włamanie” oznacza wpisania url w przegladarke internetowa?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.