Wczoraj miał premierę „prawicowy Facebook”, czyli serwis społecznościowy Albicla.com, uruchomiony przez środowisko serwisu Niezalezna.pl i polityczne okolice. A w dniu premiery, jak to w dniu premiery, dzieją się różne cuda.
Premiera serwisu była mocno nagłośniona w mediach, więc i użytkowników pojawiło się niemało. Według komunikatów założycieli jeszcze przed północą w serwisie zarejestrowało się 10 000 osób. Co prawda, sporo z nich to pewnie różnej maści trolle, ale była też cała śmietanka towarzyska prawicy, z wicepremierem Glińskim włącznie. Baza danych takiego serwisu to zapewne łakomy kąsek dla włamywaczy, którym – być może – pokończyły się już hasła do kont posłów prawicy na Twitterze.
Problemy wieku dziecięcego
Serwis przeżywał tradycyjne problemy związane z nagłym napływem nowych użytkowników – między innymi e-maile z linkami do aktywacji kont dochodziły z dużym opóźnieniem, pojawiło się także spore stado trolli, jednak to nie to okazało się największym zmartwieniem jego twórców.
Przeglądając serwis, zauważyliśmy dość trywialny błąd. Wywołanie katalogu zamiast pliku owocowało takim komunikatem:
Notice: file_get_contents(): read of 8192 bytes failed with errno=21 Is a directory in /var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php on line 15
Pokazuje to nie najlepszą kulturę programistyczną, ale samo z siebie nie prowadzi bezpośrednio do naruszenia bezpieczeństwa. Wkrótce miało się to jednak zmienić.
Późnym wieczorem od czytelnika pragnącego zachować anonimowość otrzymaliśmy informację o błędzie w kodzie serwisu, umożliwiającym pobranie dowolnego pliku z serwera. Błąd – można powiedzieć – szkolny, niewymagający specjalnej wiedzy technicznej i możliwy do wykorzystania za pomocą samej przeglądarki. Wystarczyło odwiedzić adres
https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php
by pobrać plik z kodem źródłowym serwisu. Wskazany przez informatora plik nie był krytyczny z punktu widzenia bezpieczeństwa, jednak sam błąd był dość poważny. Akurat braliśmy się do informowania serwisu o podatności, gdy przyszła kolejna wiadomość (nie wiemy, czy to ten sam informator, czy inny). Tym razem okazało się, że pod adresem
https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/sites/settings_loc.inc.php
pobrać można plik z danymi konfiguracyjnymi serwisu. Wyglądał on tak:
Hasła były długie i skomplikowane – ale co z tego, że hasło do bazy ma 32 losowe znaki (łamanie zajmie więcej lat niż istnieje wszechświat), skoro można je pobrać jednym prostym żądaniem do serwera, którego znalezienie zajęło komuś nie więcej niż kilka godzin?
Refleksja
Opis sytuacji niezwłocznie przesłaliśmy na adres kontaktowy serwisu. Z rozmowy z innym badaczem dowiedzieliśmy się, że tego samego wieczoru serwis potrafił odpisać na zgłoszony problem bezpieczeństwa w ciągu 2 minut (imponujące!), jednak po kwadransie bez odpowiedzi wezwaliśmy na pomoc Twittera, by luka została jak najszybciej usunięta. Dlaczego?
Być może są wśród was osoby, które wolą patrzeć, jak świat przeciwników politycznych płonie, ale w takiej sytuacji preferencje polityczne nie mają żadnego znaczenia. Baza danych wykradziona z serwisu może służyć jako narzędzie wzniecania jeszcze większej pożogi (patrz przykłady zhakowanych kont prawicowych polityków w ostatnich tygodniach), a to w końcu nasz kraj i nie będą nam się obcy w nasze konflikty wtrącać. A tak serio to po prostu to było jedyne słuszne rozwiązanie – jak w przypadku każdego innego wycieku danych niewinnych użytkowników.
Co prawda, na odpowiedź na naszego e-maila się nie doczekaliśmy, ale wygląda na to, że błąd został usunięty, więc publikujemy artykuł. Mamy nadzieję, że ujawnione hasła zostały zmienione. Nadzieję, lecz nie pewność – stąd zamazane kluczowe fragmenty. Twórcom serwisu gorąco rekomendujemy:
- wyłączenie serwisu,
- kompleksowe testy bezpieczeństwa,
- włączenie serwisu.
Na ich miejscu zamknęlibyśmy serwis na kilka dni, zanim okaże się, że baza użytkowników wędruje po sieci – bo pewnie nie był to jedyny błąd tej kategorii. Na wszelki wypadek nie rekomendujemy używania tam haseł, na których wam zależy (a w ogóle to stosujcie unikatowe hasła, serio).
PS. Tak, w serwisie jest mnóstwo innych błędów, użytkownicy bez nazwy, użytkownik „login”, na którego profil nie da się wejść, bo przekierowuje na stronę logowania, możliwość pisania na cudzym profilu, link do Facebooka w regulaminie itd. – ale na to chyba już nic nie poradzimy…
Komentarze
Słowiańskich programistów 15k przerasta skonfigurowanie serwera aby uniknąć błędu znanego od 20 lat.
pewnie serwis robiony po kosztach, po znajomości, z publicznym dofinansowaniem to i tak to się kończy
To nie programiści maja konfigurować serwery…
Chyba śnisz… To ilu tych złodziei prywaciarzy informatyków mają zatrudnić?! 2!? Tutaj Radek w latach 90-tych coś tam robił robił w te komputery, więc jemu się zleci. Poza tym ma syna w liceum to mu to tam wyklikać pomoże. I cyk 500k na konto kumpla z partii :D
Niby tak, ale to jest błąd typowo programistyczny. PHP musi mieć dostęp do tego pliku, a w gestii programisty leży 'zabezpieczenie’ wejścia.
nie musi mieć mordo, to konfiguracja serwera reguluje dostęp :) jedyny błąd jaki zastosowano po stronie phpa, to pełne komunikaty błędu i zdaje się, że jakąś wersję anty-produkcyjną
Owszem. You wrote it, you run it:)
to nie słowiańscy programiści 15k
tylko pewnie prawicowi „informatycy” po szkole gotowania na gazie
Bardzo sie ucieszylam z mozliwosci udzialu z wlasnymi komentarzami na prawicowym , moim portalu i bardzo mi zalezy zeby dostep do niego dla mnie byl latwy i dostepny, pozdrawiam wszystkich martka
A dlaczego w formularzu rejestracyjnym nie ma nr. telefonu który można podać lub nie ale kod aktywacyjny byłby natychmiast. Ludzie uczciwi nie muszą ukrywać swojego telefonu.
W naszym nieszczęśliwym kraju każdy POWINIEN ukrywać swój numer telefonu.
Jeżeli wierzysz, że „kto nie robi nic złego, służb nie musi się bać”, to żyjesz na Księżycu.
Przecież od razu widać, że to studenci za najniższą krajową robili.
Tak to jest jak byle chłopek roztropek na olx szuka firmy, która mu zrobi „portal”.
Ale żeby takie babole walić w kodzie? Coś czuję, że albicla zagości na z3s jeszcze nie raz
To jakiś silnik gotowy jak u słowian WoWonder, czy własny?
Po przytłaczającej liczbie paskudnych baboli podejrzewam, że własny xD
Stawiam, że jakiś gotowy, ew. lekko zmodyfikowany. Za szybko to postawili aby napisać wszystko od nowa.
Niezależny portal społecznościowy „bez cenzury”, który z miejsca zaczął wprowadzać cenzurę. Ale czego można się spodziewać po „niezależnej”.pl? XDD
Przez chwilę myslałem że ta postać Sakiewicz wziął duży hajs z Orlenu czy innego PZU i będzie robił choćby na pierwszy rzut oka profesjonalnie.
Ale szybko się okazało że Albicla to nagła oddolna inicjatywa jakichś pradziadersów z – Hospody pomyłuj – tzw. Klubów Gapola.
Oświadczam więc że śmianie się z nich jest jak kpiny z garbatych kalekich dzieci. Czyli niezbyt oryginalne ale i tak zajebiste.
Widzę jak działa rejestracja i już wiem, że kod jest gówniany.
zarejestruj?status=ok XD
hosting na OVH (zgłasza się IP z Paryża) oraz domena już na mailowych blacklistach.
Taki bezpieczny jak i „niezależny” :) Może i kiedyś był to niezależny portal i prawicowy. Teraz wygląda tak antylewicowe, ale i antyprawicowe narzędzie rządowe. Do serwerwów mogli dorwać się więc ludzie z każdej strony.
Wśród prawicowych ekstremistów nie ma „niewinnych użytkowników”.
” … Pokazuje to nie najlepszą kulturę programistyczną …” – a skąd ty to możesz wiedzieć skoro twoja wiedza bezpieczniaka nie obejmuje programowania?
A skąd ty możesz wiedzieć co obejmuje moja wiedza? :D
Oglądałem twoje webinary :D
nie trzeba byc malarzem, zeby widziec, ze ktos maluje chujowo
” … Pokazuje to nie najlepszą kulturę programistyczną … ” A skąd ty to możesz wiedzieć skoro nie masz pojęcia o programowaniu?
Ten portal stworzony przez gazetę Sakiewucza tzn PiS czyli socjalistyczna statystyczna partie to nie pejsbuk ale nie nazywając tego prawicowym bo to komuniści …
100% trafień.
Czyli zeby cos tam poczytac to trzeba sie zarejestrowac i zalogowac ?
To raczej ciezko powiedziec, ze to alternatywa do FB.
Szczerze to zero zaskoczenia, kibicowałem że takie coś będzie, ale bardziej dla beki
Mi się podoba brak opcji odzyskiwania hasła. Typowe podejście prawaków: wszystko zawsze idzie zgodnie z modelem.
Leczą mnie komentarze „typowe podejście prawków” bla bla.
Ok ostro spieprzyli na starcie.
Ktoś z rozbawionych krzykaczy pamięta jak sypał się fejsbuk u swoich początków?
Zanim wyszedł do publicznego użycia i zaraz po? Czy też byli w tedy jeszcze w wieku kiedy to trzeba im było pieluszki zmieniać i w dziób bobofrutki wpychać.
Zobaczymy co z tego portalu będzie na razie strzelili sobie w stopę.
Od czasów startu twarzoksiążki minęło sporo lat, internet stał się powszechny, a devsow/devopsow/adminow/db na świecie jest tak 10x więcej. Myślę, że speców od security jest pare tysięcy razy więcej, bo wtedy prawie ich nie było. Wiedza jest o wiele większa i bardziej dostępna w tej dziedzinie. To trochę tak, jakbyśmy otworzyli stocznie, zatrudnili „swoich”, jako dyrektora ds. produkcji wyznaczyli Sasina, wyprodukowali statek, statek poszedłby na dno w pierwszym rejsie, a my jako wytłumaczenie podawalibyśmy Titanica, że też na dno poszedł. A obok stoczniowcy z innych stoczni, którzy stworzyli kilkaset statków się przyglądają i rechoczą. Choć w sumie – po Twoim komentarzu – to chyba cała prawica tak działa. Uczy się czegoś co jest oczywiste/dostępne, tylko dlatego że daje robotę swoim którzy nic nie umieją i dopiero się uczą. Ale są swoi, więc pewni – kij że stadnina będzie bankrutem, nasz zarządza:P
Po co maja miec opcje przypominania hasla, jesli mozesz w kazdej chwili zmienic przez sql injection ;)
Czy do wszystkiego trzeba mieszać politykę ?
Podoba mi się, że pomogliście szybko wyszukać błędy i pomóc kolegom z branży, którzy najwidoczniej nie przemyśleli swojej konfiguracji.
Ludzie IT powinni się wspierać nawzajem.
Nie rozumiem tego hejtu, który tu się wylewa z wypowiedzi niektórych kolegów szczególnie o podłoży politycznym czy nawet rasistowskim.
Co to ma do rzeczy, że programista czy administrator jest prawicowy czy lewicowy.
Jako profesjonaliści powinniśmy być ponad takie podziały.
> Czy do wszystkiego trzeba mieszać politykę ?
Nie trzeba i nie do wszystkiego, ale tutaj można.
Serwis pod auspicjami niewyrafinowanego propagandzisty, pana Tomasza Sakiewicza, trudno uznać za niepolityczny.
Gdyby FB byl apolityczny calej tej szopy by nie bylo. Dziwicie sie ze po takim numerze z Trumpem (nie pierwszym w wykonaniu FB ale jak dotad najmocniejszym) ludzie zaczeli sie od niego odwracac? Jak komus sie podoba bo akurat glanuja nie jego opcje polityczna to co powie jak przyjdzie jego kolej? Ja to sie akurat ciesze ze FB juz nie bedzie udawac apolitycznego i ze ojej kapital ma narodowosc a spolecznosciowka swiatopoglad.
Tylko… Oni sami mieszają się w politykę zapowiedziami o tym jak to będzie kraina hejtem i bezprawiem płynąca w ramach przeciwstawienia się złu ze strony lewicowych portali?
Panie Darek!
W Słowie Niezależnym nie ma ludzi IT. Wyłącznym kryterium personalnym jest MBaW (Mierny, Bierny ale WIERNY).
Więc nie ma co żałować buców i kretynów.
Przypominam!
„…My to pany, reszta to chamy.
oraz
„…Komuniści i złodzieje”
A TS …??? To taki „frontman” sterowany z tylnego siedzenia przez Nowogrodzką.
Widzisz, to portal/sm polityczne w założeniu. Więc polityka się sama narzuca.
I oddaje ten chaos i brak podstawowej wiedzy tych którzy go tworzą. Wśród devsów jest na pęczki prawicowców, dobrych devsów – ale nikt im nie zaproponował nawet współpracy. Bo jak to zwykle bywa – zabrali się za to ludzie których dotychczasowe doświadczenie zawodowe ogranicza się do sępienia publicznych pieniędzy, a jak sam Sakiewicz przyznał, jeszcze żaden z tych co to pisali kasy nie dostał. I kosztowało to coś ok 100k pln – to oznacza z grubsza zespól 6-7 osobowy przez miesiąc. A podobno za tą kasę pracowało ok 100 osób. Tak więc, jakby nie spojrzeć, po taniości, z najsłabszymi specami, po prostu Sasinizm i Szumowski z zakupem respiratorów u handlarza bronią. Może jeszcze Ci kolesie od stadniny w Janowie.
Właśnie w tym problem, że to nie są profesjonaliści, widać, że ktoś chciał oszczędzić na specjalistach. Brzydzę się takim podejściem i z całym zaangażowaniem wspieram hejt.
Do dialogu potrzebny jest partner. Tutaj nie ma wysiłku z drugiej strony. Wspieranie nie polega na ciągnięciu za rączkę przez bagno.
Znając pomysły tych pislamskich zło…, to pewnie przytuli dotacje na innowacje ;) na kilka MLN za ten projekt. Tak jak słynny portal o puszczy, za ponad 7 MLN budżetowych PLN. Zrobili to jacyś studenci, na praktykach w państwowych firmach.
Problem oczywiście jest innego kalibru. Z konkurencją Facebooka jest jak z przepowiedniami końca świata – dużo szumu, dużo zapowiedzi a potem się okazuje że nic z tego nie ma. Sorki, jakiś polski portal odpala serwis na VPS na OVH, pewnie po kosztach i bez loadbalancerów, na bazie kodu bez większego audytu i co, serio chcą pokonać fb? Wolnisłowianie? Przecież nasza-klasa ma o lata świetlne większy potencjał niż te fb-killery.
Al Bicla? Al-Bikla? Oj coś tu pachnie pieczoną baraniną i hummusem :)
Swoją drogą… ktoś coś jeszcze pisze w PHP? XD
A poza Pythonem i JS (+ różnymi technologiami z nim powiązanymi) naukę jakiego języka do programowania webowego polecasz?
Pytam serio.
angielskiego
Angielski znam biegle w mowie i piśmie, ale przyłączam się do pytania o język programowania.
Jest tyle języków do webdevu, że można polecić „ten, w którym się najwygodniej pisze”. Ja się ostatnio wkręciłem w Kotlina i widzę, że ich rozwiązania do pisania serwerów HTTP są bardzo wygodne.
Dzięki!
Ktoś ma jeszcze jakieś inne sugestie?
Jest wiele języków w których można pisać weba. Wielu wieszczyło śmierć phpa. Wielu wieszczy. I wciąż ponad połowa internetu stoi na php, w tym fb, otwierany codziennie przez pół populacji ludzkiej.
devsi z php są jednymi z tańszych na rynku, a do zastosowań małych/średnich przedsięwzięć webowych – w zupełności wystarczający.
Python, JavaScript, Ruby.
Powiem Ci tak: naucz się jednego ale perfekcyjnie. Niech to będzie Python (ze względu na jego potężne możliwości) albo Ruby (także ze względu na jego duże możliwości i szybkość). JavaScript jest praktycznie wszędzie upchany w technologiach webowych, więc trzeba go znać, przynajmniej na poziomie śreniozaawansowanym.
Ja bym wybrał Pythona. Przerób najważniejsze książki do niego z Heliona, jest ich kilkanaście, z kilkudziesięciu dostępnych. Przerób dokładnie, rozdział po rozdziale, tak żeby Cię w Pythonie nic nie zaskoczyło. Sam się go uczę, ze względu na cybersecurity i dosłownie fascynuje mnie coraz bardziej. Świetny język, odziedziczył po Perlu i C najlepsze cechy. Do tego dochodzi wiele bibliotek, pozwalających wyczarować co się tylko chcesz. Ostatnio zabrałem się za bibliotekę Pandas i wciągnęło mnie.
Ruby? Przecież ten język zdycha XDD
Zadajesz złe pytania. To w jakim języku coś tworzysz ma co najwyżej drugorzędne znaczenie.
nie, przecież teraz wszyscy piszą w COBOLu :)
np. ja
bo się pisze szybko
Zgadza się, szybko i do d….
„Opis sytuacji niezwłocznie przesłaliśmy na adres kontaktowy serwisu”
No i po cholerę im pomagacie, serio?
A co użytkownicy tego serwisu winni? Ich trzeba chronić, bez względu na to, komu kibicują
To jaki tam był ruch, że się im to zawieszało?
ddos?
„Dlaczego? Być może są wśród was osoby, które wolą patrzeć, jak świat przeciwników politycznych płonie, ale w takiej sytuacji preferencje polityczne nie mają żadnego znaczenia.”
Fajnie to brzmi, niczym samokrytyka składana na plenum. Może będzie wam policzone w Nowym Wspaniałym Świecie. A może nie. W każdym razie dobrze, że się wytłumaczyliście.
Ilu tu specjalistów od win 2.0
„Hasło za krótkie, prosimy użyć od 8 do 32 znaków” ograniczenie długości hasła do 32 znaków w 2021? ROTFL.
Taki narodowy portal społecznościowy, a nazwa jest skrótem jakiegoś angielskiego zdania? Żałosne, jak zresztą wszystko, co jest „narodowe” w tym kraju.
Tak z czystej ciekawości – raczej w czystym PHP tego nie pisali, tylko za pomocą jakiegoś frameworka, który powinien chronić przed takimi wpadkami z automatu. Więc jakim cudem?