Awaria Kinoman.tv ujawnia hasła dostępu do bazy danych serwisu

dodał 10 kwietnia 2014 o 06:41 w kategorii Wpadki  z tagami:
Awaria Kinoman.tv ujawnia hasła dostępu do bazy danych serwisu

Czasem komunikaty o błędach w przypadku awarii ujawniają za dużo informacji, rzadko jednak można w nich wyczytać hasła do kilku kluczowych baz danych wraz z ich adresami. Przydarzyło się to właśnie następcy Kinomaniaka.

Serwis Kinoman.tv kilka godzin temu przywitał swoich użytkowników niecodziennym wyglądem. Zamiast listy najnowszych przebojów kinowych zobaczyli oni duży fragment kodu źródłowego głównej strony. Wygląda na to, że prosty błąd administratorów naraził ich na ryzyko ujawnienia danych wszystkich użytkowników.

Miejsce się skończyło

Z treści pojawiającego się do tej pory komunikatu możemy wywnioskować, że główną przyczyną awarii był brak miejsca na dysku serwera, powodujący problemy z zapisem logów.

Nie wiemy, czy to, co dzieje się dalej, jest standardową funkcją frameworku Kohana, z którego korzysta serwis, czy wymagało to specjalnej konfiguracji (aktualizacja: w komentarzach wskazujecie, że ktoś zapomniał przełączyć framework z trybu deweloperskiego na produkcyjny), ale pod komunikatem pojawia się spora porcja kodu źródłowego, w tym parametry logowania do kilku baz danych.

Fragment komunikatu o błędzie wyświetlanego na stronie

Fragment komunikatu o błędzie wyświetlanego na stronie

Dane uwiecznione na zarzucie ekranu to tylko część ujawnionych informacji. Wszystkim użytkownikom serwisu radzimy zmienić hasło (gdy tylko administrator zwolni trochę miejsca na dysku) a administracji polecamy rozważenie innej konfiguracji komunikatów o błędach.

Za informację o zdarzeniu dziękujemy użytkownikowi Wykopu digestive oraz Piotrowi.