Jak można było pobrać bazę użytkowników serwisu Albicla.com

dodał 21 stycznia 2021 o 00:58 w kategorii Włamania  z tagami:
Jak można było pobrać bazę użytkowników serwisu Albicla.com

Wczoraj miał premierę „prawicowy Facebook”, czyli serwis społecznościowy Albicla.com, uruchomiony przez środowisko serwisu Niezalezna.pl i polityczne okolice. A w dniu premiery, jak to w dniu premiery, dzieją się różne cuda.

Premiera serwisu była mocno nagłośniona w mediach, więc i użytkowników pojawiło się niemało. Według komunikatów założycieli jeszcze przed północą w serwisie zarejestrowało się 10 000 osób. Co prawda, sporo z nich to pewnie różnej maści trolle, ale była też cała śmietanka towarzyska prawicy, z wicepremierem Glińskim włącznie. Baza danych takiego serwisu to zapewne łakomy kąsek dla włamywaczy, którym – być może – pokończyły się już hasła do kont posłów prawicy na Twitterze.

Problemy wieku dziecięcego

Serwis przeżywał tradycyjne problemy związane z nagłym napływem nowych użytkowników – między innymi e-maile z linkami do aktywacji kont dochodziły z dużym opóźnieniem, pojawiło się także spore stado trolli, jednak to nie to okazało się największym zmartwieniem jego twórców.

Przeglądając serwis, zauważyliśmy dość trywialny błąd. Wywołanie katalogu zamiast pliku owocowało takim komunikatem:

Notice: file_get_contents(): read of 8192 bytes failed with errno=21 Is a directory in /var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php on line 15

Pokazuje to nie najlepszą kulturę programistyczną, ale samo z siebie nie prowadzi bezpośrednio do naruszenia bezpieczeństwa. Wkrótce miało się to jednak zmienić.

Późnym wieczorem od czytelnika pragnącego zachować anonimowość otrzymaliśmy informację o błędzie w kodzie serwisu, umożliwiającym pobranie dowolnego pliku z serwera. Błąd – można powiedzieć – szkolny, niewymagający specjalnej wiedzy technicznej i możliwy do wykorzystania za pomocą samej przeglądarki. Wystarczyło odwiedzić adres

https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php

by pobrać plik z kodem źródłowym serwisu. Wskazany przez informatora plik nie był krytyczny z punktu widzenia bezpieczeństwa, jednak sam błąd był dość poważny. Akurat braliśmy się do informowania serwisu o podatności, gdy przyszła kolejna wiadomość (nie wiemy, czy to ten sam informator, czy inny). Tym razem okazało się, że pod adresem

https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/sites/settings_loc.inc.php

pobrać można plik z danymi konfiguracyjnymi serwisu. Wyglądał on tak:

Hasła były długie i skomplikowane – ale co z tego, że hasło do bazy ma 32 losowe znaki (łamanie zajmie więcej lat niż istnieje wszechświat), skoro można je pobrać jednym prostym żądaniem do serwera, którego znalezienie zajęło komuś nie więcej niż kilka godzin?

Refleksja

Opis sytuacji niezwłocznie przesłaliśmy na adres kontaktowy serwisu. Z rozmowy z innym badaczem dowiedzieliśmy się, że tego samego wieczoru serwis potrafił odpisać na zgłoszony problem bezpieczeństwa w ciągu 2 minut (imponujące!), jednak po kwadransie bez odpowiedzi wezwaliśmy na pomoc Twittera, by luka została jak najszybciej usunięta. Dlaczego?

Być może są wśród was osoby, które wolą patrzeć, jak świat przeciwników politycznych płonie, ale w takiej sytuacji preferencje polityczne nie mają żadnego znaczenia. Baza danych wykradziona z serwisu może służyć jako narzędzie wzniecania jeszcze większej pożogi (patrz przykłady zhakowanych kont prawicowych polityków w ostatnich tygodniach), a to w końcu nasz kraj i nie będą nam się obcy w nasze konflikty wtrącać. A tak serio to po prostu to było jedyne słuszne rozwiązanie – jak w przypadku każdego innego wycieku danych niewinnych użytkowników.

Co prawda, na odpowiedź na naszego e-maila się nie doczekaliśmy, ale wygląda na to, że błąd został usunięty, więc publikujemy artykuł. Mamy nadzieję, że ujawnione hasła zostały zmienione. Nadzieję, lecz nie pewność – stąd zamazane kluczowe fragmenty. Twórcom serwisu gorąco rekomendujemy:

  1. wyłączenie serwisu,
  2. kompleksowe testy bezpieczeństwa,
  3. włączenie serwisu.

Na ich miejscu zamknęlibyśmy serwis na kilka dni, zanim okaże się, że baza użytkowników wędruje po sieci – bo pewnie nie był to jedyny błąd tej kategorii. Na wszelki wypadek nie rekomendujemy używania tam haseł, na których wam zależy (a w ogóle to stosujcie unikatowe hasła, serio).

PS. Tak, w serwisie jest mnóstwo innych błędów, użytkownicy bez nazwy, użytkownik „login”, na którego profil nie da się wejść, bo przekierowuje na stronę logowania, możliwość pisania na cudzym profilu, link do Facebooka w regulaminie itd. – ale na to chyba już nic nie poradzimy…