21.03.2017 | 09:31

Adam Haertle

Firma twierdziła, że nikt ich nie zhakował – internet szybko poprawił

Twierdzenie w internecie, że dana strona czy usługa jest odporna na ataki hakerskie, to w dzisiejszych czasach zaproszenie do nieautoryzowanych testów penetracyjnych. Boleśnie przekonał się o tym pewien specjalistyczny serwis.

Są w sieci miejsca, gdzie czas się zatrzymał. Szczególnie widać to w małych serwisach internetowych, skierowanych do wąskich grup odbiorców, powstałych co najmniej kilka lat temu i od tamtego czasu jak zamrożonych. Świat idzie jednak do przodu i pewnych zmian oczekuje – szczególnie w obszarze bezpieczeństwa.

Proszę wyłączyć to ostrzeżenie

Wszystko zaczęło się od zgłoszenia „problemu” z Firefoksem. Firefox, podobnie jak Chrome, od niedawna wyświetla informację „strona niebezpieczna” przy witrynach, w których panel logowania lub przesyłania danych kart płatniczych nie jest zabezpieczony za pomocą protokołu HTTPS. Najwyraźniej nie spodobało się to pewnej firmie, której klienci taki komunikat zauważyli:

Firma żąda w nim usunięcia ostrzeżenia na swojej witrynie, ponieważ dysponuje własnymi systemami bezpieczeństwa i nigdy nie doszło do włamania przez ponad 15 lat istnienia serwisu. Oczywiście już samo żądanie jest kuriozalne, jednak ciąg dalszy jest jeszcze lepszy.

Ktoś zwrócił uwagę na powyższy wpis i wrzucił go na Reddita. W ciągu mniej niż godziny najpierw pojawiła się informacja, że panel logowania zawiera błąd typu SQLi oraz że hasła użytkowników przechowywane są w formie jawnej (nie widzieliśmy dowodu na to drugie twierdzenie).

Po następnych kilku minutach ktoś najwyraźniej zadbał o bezpieczeństwo haseł, ponieważ cała tablica je zawierająca wydaje się być nieobecna…

PS. Strona tej samej firmy umożliwiająca płatność za usługi i przesłanie danych swojej karty kredytowej również działa po HTTP…

Powrót

Komentarze

  • 2017.03.21 10:26 Filip

    HTTP to sprawdzona technologia, nie to co ten cały „s” :)

    Odpowiedz
  • 2017.03.21 11:29 mysz0n

    Mam pytanie, czy jeśli miałbym stronkę z odbiciem do dotpay lub innego payU to muszę to robić po https? czy zakładam, że bezpieczeństwem zajmuje się operator i umożliwiam tylko wybór usługi i kwoty, a resztę robi operator?

    Odpowiedz
    • 2017.03.21 21:56 ppp

      Jeżeli korzystasz z ich gateway’ów – automatycznie przekierowuje na https. Jeżeli korzystasz z API itp. – po Twojej stronie leży obowiązek zabezpieczenia przesyłanych danych.

      Odpowiedz
    • 2017.03.21 22:03 ppp

      Ale i tak warto zadbać o bezpieczeństwo DO klientów (nazwiska, adresy, numery tel, mail). Jeżeli prowadzisz sklep internetowy/subskrypcje (artykuły) płatne itp. – https jest lepszy wizerunkowo (coraz więcej klientów zwraca uwagę na „zieloną kłódkę”) + zawsze to jakieś dodatkowe zabezpieczenie (wg mnie podstawowe) i obecnie już darmowe (zobacz: letsencrypt.org)

      Odpowiedz
  • 2017.03.21 11:53 Adam

    „Darmowe” pentesty…

    Odpowiedz
  • 2017.03.21 14:28 grekus

    Jakież to piękne :D

    Odpowiedz
  • 2017.03.21 18:41 qdexx

    Takie czasy, strony zatrzymały sie w czacie :) T nawet zalogować się nie można :) http://szpitalmiejski.elblag.pl/rejestracja/

    Odpowiedz
  • 2017.03.21 19:11 WikT0R

    Aktualnie cała strona leży, nic tam nie ma, nawet komunikatu, że coś robią ;)

    HTTP Error 404. The requested resource is not found.

    Odpowiedz
  • 2017.03.21 22:16 dzek

    adres niezabezpieczonej strony do płatności miażdży :D

    http://www.oilandgasinternational.com/SSL_Subscribe/subscribe_us.aspx

    SSL_Subscribe

    SSL

    xD

    Odpowiedz
  • 2017.03.21 22:17 dzek

    test

    Odpowiedz
  • 2017.03.21 22:25 Antoni

    Nie wyrokujmy. Poczekajmy na wypowiedź Dr. Bitcoina w mediach.

    Odpowiedz
  • 2017.04.27 02:04 Łukasz

    Wygląda na to, że strona znów ruszyła. Nawet certyfikat zainstalowali :) Tyle tylko, że nie wymusili logowania się po SSL, więc ktoś kto wchodzi na stronę, dostanie standardowy http :D

    Odpowiedz

Zostaw odpowiedź do Filip

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Firma twierdziła, że nikt ich nie zhakował – internet szybko poprawił

Komentarze