szukaj

12.07.2012 | 01:41

avatar

Adam Haertle

Hasła użytkowników Le Figaro w Google – winny Drupal

Jak powszechnie wiadomo, Google wie wszystko – zna nawet strony, których twórcy chcieli, by zniknęły z sieci. Rzadko się jednak zdarza, by internetowy gigant indeksował hasła użytkowników dużego, poważnego serwisu prasowego.

Trzeba przyznać, że wpadka Le Figaro, jednego z największych francuskich dzienników, jest dość spektakularna i spowodowana złożeniem kilku czynników. Jak podaje serwis korben.info, proste zapytanie w Google ujawnia adresy email oraz hasła komentatorów udzielających się na forum dziennika. W indeksie Google znalazły się adresy URL, w których otwartym tekstem zapisana została nie tylko treść komentarza, ale także adres email i hasło komentującego. Gazecie trzy dni zajęło ustalenie źródła problemu i naprawienie błędnej funkcjonalności. Początkowo Le Figaro tłumaczyło wyciek „atakiem hakerskim”. Najwyraźniej jednak ktoś przyjrzał się problemowi i gazeta opublikowała dzisiaj szczegółowe wyjaśnienie genezy problemu.


Przykład wycieku hasła

Okazuje się, że winnym wycieku danych był Drupal w wersji 6 i specyficzna konfiguracja serwisu www. Na problem złożyło się kilka czynników. Po pierwsze, Drupal w wersji 6 wyświetlał w linkach zawartość zmiennej PHP $_REQUEST, która łączyła wartości GET (adres strony) oraz POST (dane formularza komentarza). Zachowanie to zostało zdiagnozowane jako problem i usunięte w wersji 7. W wersji 6, dla zachowania kompatybilności, problem ten rozwiązano usuwając ze zmiennej $_REQUEST zmienną „pass”, przechowującą hasło użytkownika. Le Figaro korzystało jednak z własnego formularza logowania, który przechowywał hasło w innej zmiennej.

Dodatkowym czynnikiem niezbędnym do wystąpienia błędu było umieszczanie zawartości stron w pamięci podręcznej serwera dla poprawienia wydajności. W założeniu link zawierający login i hasło użytkownika powinien być widoczny jedynie dla użytkownika, który wysłał komentarz – a w efekcie przechowywania strony przez serwer link był widoczny przez kilka minut dla wszystkich użytkowników. Jeśli w tym czasie na stronę trafił robot Google, indeksował adres email oraz hasło pechowego użytkownika. Jak ustaliła gazeta, problem dotyczył 168 kont użytkowników. Trzeba przyznać, że poziom złożoności warunków niezbędnych do wystąpienia wycieku haseł by dość wysoki – ale jak widać, nawet skomplikowane sytuacje zaistnieją, jeśli tylko da się im ku temu okazję.

Powrót

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Hasła użytkowników Le Figaro w Google – winny Drupal

Komentarze