21.01.2021 | 00:58

Adam Haertle

Jak można było pobrać bazę użytkowników serwisu Albicla.com

Wczoraj miał premierę „prawicowy Facebook”, czyli serwis społecznościowy Albicla.com, uruchomiony przez środowisko serwisu Niezalezna.pl i polityczne okolice. A w dniu premiery, jak to w dniu premiery, dzieją się różne cuda.

Premiera serwisu była mocno nagłośniona w mediach, więc i użytkowników pojawiło się niemało. Według komunikatów założycieli jeszcze przed północą w serwisie zarejestrowało się 10 000 osób. Co prawda, sporo z nich to pewnie różnej maści trolle, ale była też cała śmietanka towarzyska prawicy, z wicepremierem Glińskim włącznie. Baza danych takiego serwisu to zapewne łakomy kąsek dla włamywaczy, którym – być może – pokończyły się już hasła do kont posłów prawicy na Twitterze.

Problemy wieku dziecięcego

Serwis przeżywał tradycyjne problemy związane z nagłym napływem nowych użytkowników – między innymi e-maile z linkami do aktywacji kont dochodziły z dużym opóźnieniem, pojawiło się także spore stado trolli, jednak to nie to okazało się największym zmartwieniem jego twórców.

Przeglądając serwis, zauważyliśmy dość trywialny błąd. Wywołanie katalogu zamiast pliku owocowało takim komunikatem:

Notice: file_get_contents(): read of 8192 bytes failed with errno=21 Is a directory in /var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php on line 15

Pokazuje to nie najlepszą kulturę programistyczną, ale samo z siebie nie prowadzi bezpośrednio do naruszenia bezpieczeństwa. Wkrótce miało się to jednak zmienić.

Późnym wieczorem od czytelnika pragnącego zachować anonimowość otrzymaliśmy informację o błędzie w kodzie serwisu, umożliwiającym pobranie dowolnego pliku z serwera. Błąd – można powiedzieć – szkolny, niewymagający specjalnej wiedzy technicznej i możliwy do wykorzystania za pomocą samej przeglądarki. Wystarczyło odwiedzić adres

https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php

by pobrać plik z kodem źródłowym serwisu. Wskazany przez informatora plik nie był krytyczny z punktu widzenia bezpieczeństwa, jednak sam błąd był dość poważny. Akurat braliśmy się do informowania serwisu o podatności, gdy przyszła kolejna wiadomość (nie wiemy, czy to ten sam informator, czy inny). Tym razem okazało się, że pod adresem

https://albicla.com/imgcache/150x150/c/?appqsa=150x150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/sites/settings_loc.inc.php

pobrać można plik z danymi konfiguracyjnymi serwisu. Wyglądał on tak:

Hasła były długie i skomplikowane – ale co z tego, że hasło do bazy ma 32 losowe znaki (łamanie zajmie więcej lat niż istnieje wszechświat), skoro można je pobrać jednym prostym żądaniem do serwera, którego znalezienie zajęło komuś nie więcej niż kilka godzin?

Refleksja

Opis sytuacji niezwłocznie przesłaliśmy na adres kontaktowy serwisu. Z rozmowy z innym badaczem dowiedzieliśmy się, że tego samego wieczoru serwis potrafił odpisać na zgłoszony problem bezpieczeństwa w ciągu 2 minut (imponujące!), jednak po kwadransie bez odpowiedzi wezwaliśmy na pomoc Twittera, by luka została jak najszybciej usunięta. Dlaczego?

Być może są wśród was osoby, które wolą patrzeć, jak świat przeciwników politycznych płonie, ale w takiej sytuacji preferencje polityczne nie mają żadnego znaczenia. Baza danych wykradziona z serwisu może służyć jako narzędzie wzniecania jeszcze większej pożogi (patrz przykłady zhakowanych kont prawicowych polityków w ostatnich tygodniach), a to w końcu nasz kraj i nie będą nam się obcy w nasze konflikty wtrącać. A tak serio to po prostu to było jedyne słuszne rozwiązanie – jak w przypadku każdego innego wycieku danych niewinnych użytkowników.

Co prawda, na odpowiedź na naszego e-maila się nie doczekaliśmy, ale wygląda na to, że błąd został usunięty, więc publikujemy artykuł. Mamy nadzieję, że ujawnione hasła zostały zmienione. Nadzieję, lecz nie pewność – stąd zamazane kluczowe fragmenty. Twórcom serwisu gorąco rekomendujemy:

  1. wyłączenie serwisu,
  2. kompleksowe testy bezpieczeństwa,
  3. włączenie serwisu.

Na ich miejscu zamknęlibyśmy serwis na kilka dni, zanim okaże się, że baza użytkowników wędruje po sieci – bo pewnie nie był to jedyny błąd tej kategorii. Na wszelki wypadek nie rekomendujemy używania tam haseł, na których wam zależy (a w ogóle to stosujcie unikatowe hasła, serio).

PS. Tak, w serwisie jest mnóstwo innych błędów, użytkownicy bez nazwy, użytkownik „login”, na którego profil nie da się wejść, bo przekierowuje na stronę logowania, możliwość pisania na cudzym profilu, link do Facebooka w regulaminie itd. – ale na to chyba już nic nie poradzimy…

Powrót

Komentarze

  • 2021.01.21 01:32 praktyk

    Słowiańskich programistów 15k przerasta skonfigurowanie serwera aby uniknąć błędu znanego od 20 lat.

    Odpowiedz
    • 2021.01.21 01:48 szymek

      pewnie serwis robiony po kosztach, po znajomości, z publicznym dofinansowaniem to i tak to się kończy

      Odpowiedz
    • 2021.01.21 01:53 Michaś

      To nie programiści maja konfigurować serwery…

      Odpowiedz
      • 2021.01.21 06:46 PisowskiKumpelRadka

        Chyba śnisz… To ilu tych złodziei prywaciarzy informatyków mają zatrudnić?! 2!? Tutaj Radek w latach 90-tych coś tam robił robił w te komputery, więc jemu się zleci. Poza tym ma syna w liceum to mu to tam wyklikać pomoże. I cyk 500k na konto kumpla z partii :D

        Odpowiedz
      • 2021.01.21 09:37 Stefan

        Niby tak, ale to jest błąd typowo programistyczny. PHP musi mieć dostęp do tego pliku, a w gestii programisty leży 'zabezpieczenie’ wejścia.

        Odpowiedz
        • 2021.01.21 13:37 Dawid

          nie musi mieć mordo, to konfiguracja serwera reguluje dostęp :) jedyny błąd jaki zastosowano po stronie phpa, to pełne komunikaty błędu i zdaje się, że jakąś wersję anty-produkcyjną

          Odpowiedz
      • 2021.01.21 23:15 telpeloth

        Owszem. You wrote it, you run it:)

        Odpowiedz
    • 2021.01.21 05:05 xxx

      to nie słowiańscy programiści 15k
      tylko pewnie prawicowi „informatycy” po szkole gotowania na gazie

      Odpowiedz
    • 2021.01.21 11:57 marta

      Bardzo sie ucieszylam z mozliwosci udzialu z wlasnymi komentarzami na prawicowym , moim portalu i bardzo mi zalezy zeby dostep do niego dla mnie byl latwy i dostepny, pozdrawiam wszystkich martka

      Odpowiedz
    • 2021.01.23 12:35 krzysztof

      A dlaczego w formularzu rejestracyjnym nie ma nr. telefonu który można podać lub nie ale kod aktywacyjny byłby natychmiast. Ludzie uczciwi nie muszą ukrywać swojego telefonu.

      Odpowiedz
      • 2021.01.25 15:38 Marecki

        W naszym nieszczęśliwym kraju każdy POWINIEN ukrywać swój numer telefonu.

        Jeżeli wierzysz, że „kto nie robi nic złego, służb nie musi się bać”, to żyjesz na Księżycu.

        Odpowiedz
    • 2021.01.26 15:49 XXXXDDD

      Przecież od razu widać, że to studenci za najniższą krajową robili.
      Tak to jest jak byle chłopek roztropek na olx szuka firmy, która mu zrobi „portal”.

      Odpowiedz
  • 2021.01.21 02:23 JAN CHRYZOSTOM PASEK

    Ale żeby takie babole walić w kodzie? Coś czuję, że albicla zagości na z3s jeszcze nie raz

    Odpowiedz
  • 2021.01.21 03:15 Daniel

    To jakiś silnik gotowy jak u słowian WoWonder, czy własny?

    Odpowiedz
    • 2021.01.21 06:59 sakiewicz łaskotał mi sakwę

      Po przytłaczającej liczbie paskudnych baboli podejrzewam, że własny xD

      Odpowiedz
    • 2021.01.21 07:07 Tomek

      Stawiam, że jakiś gotowy, ew. lekko zmodyfikowany. Za szybko to postawili aby napisać wszystko od nowa.

      Odpowiedz
  • 2021.01.21 05:16 ***** ***

    Niezależny portal społecznościowy „bez cenzury”, który z miejsca zaczął wprowadzać cenzurę. Ale czego można się spodziewać po „niezależnej”.pl? XDD

    Odpowiedz
  • 2021.01.21 07:15 tolep

    Przez chwilę myslałem że ta postać Sakiewicz wziął duży hajs z Orlenu czy innego PZU i będzie robił choćby na pierwszy rzut oka profesjonalnie.

    Ale szybko się okazało że Albicla to nagła oddolna inicjatywa jakichś pradziadersów z – Hospody pomyłuj – tzw. Klubów Gapola.

    Oświadczam więc że śmianie się z nich jest jak kpiny z garbatych kalekich dzieci. Czyli niezbyt oryginalne ale i tak zajebiste.

    Odpowiedz
  • 2021.01.21 07:44 programista15k

    Widzę jak działa rejestracja i już wiem, że kod jest gówniany.
    zarejestruj?status=ok XD

    Odpowiedz
  • 2021.01.21 08:27 Ano

    hosting na OVH (zgłasza się IP z Paryża) oraz domena już na mailowych blacklistach.

    Odpowiedz
  • 2021.01.21 08:30 Wodzu

    Taki bezpieczny jak i „niezależny” :) Może i kiedyś był to niezależny portal i prawicowy. Teraz wygląda tak antylewicowe, ale i antyprawicowe narzędzie rządowe. Do serwerwów mogli dorwać się więc ludzie z każdej strony.

    Odpowiedz
  • 2021.01.21 08:37 krzysiek

    Wśród prawicowych ekstremistów nie ma „niewinnych użytkowników”.

    Odpowiedz
  • 2021.01.21 08:39 Biden

    ” … Pokazuje to nie najlepszą kulturę programistyczną …” – a skąd ty to możesz wiedzieć skoro twoja wiedza bezpieczniaka nie obejmuje programowania?

    Odpowiedz
    • 2021.01.21 09:17 Adam Haertle

      A skąd ty możesz wiedzieć co obejmuje moja wiedza? :D

      Odpowiedz
      • 2021.01.21 09:55 Biden

        Oglądałem twoje webinary :D

        Odpowiedz
        • 2021.01.21 12:20 asdf

          nie trzeba byc malarzem, zeby widziec, ze ktos maluje chujowo

          Odpowiedz
  • 2021.01.21 09:08 Harris

    ” … Pokazuje to nie najlepszą kulturę programistyczną … ” A skąd ty to możesz wiedzieć skoro nie masz pojęcia o programowaniu?

    Odpowiedz
  • 2021.01.21 09:12 Hańba

    Ten portal stworzony przez gazetę Sakiewucza tzn PiS czyli socjalistyczna statystyczna partie to nie pejsbuk ale nie nazywając tego prawicowym bo to komuniści …

    Odpowiedz
    • 2021.01.24 22:52 openworld

      100% trafień.

      Odpowiedz
  • 2021.01.21 09:45 tt

    Czyli zeby cos tam poczytac to trzeba sie zarejestrowac i zalogowac ?

    To raczej ciezko powiedziec, ze to alternatywa do FB.

    Odpowiedz
  • 2021.01.21 11:00 ohuiiiuuuuzuoty

    Szczerze to zero zaskoczenia, kibicowałem że takie coś będzie, ale bardziej dla beki

    Odpowiedz
  • 2021.01.21 11:01 jajko

    Mi się podoba brak opcji odzyskiwania hasła. Typowe podejście prawaków: wszystko zawsze idzie zgodnie z modelem.

    Odpowiedz
    • 2021.01.21 19:51 leczą-mnie komentarze

      Leczą mnie komentarze „typowe podejście prawków” bla bla.
      Ok ostro spieprzyli na starcie.

      Ktoś z rozbawionych krzykaczy pamięta jak sypał się fejsbuk u swoich początków?
      Zanim wyszedł do publicznego użycia i zaraz po? Czy też byli w tedy jeszcze w wieku kiedy to trzeba im było pieluszki zmieniać i w dziób bobofrutki wpychać.

      Zobaczymy co z tego portalu będzie na razie strzelili sobie w stopę.

      Odpowiedz
      • 2021.01.25 17:53 tommie

        Od czasów startu twarzoksiążki minęło sporo lat, internet stał się powszechny, a devsow/devopsow/adminow/db na świecie jest tak 10x więcej. Myślę, że speców od security jest pare tysięcy razy więcej, bo wtedy prawie ich nie było. Wiedza jest o wiele większa i bardziej dostępna w tej dziedzinie. To trochę tak, jakbyśmy otworzyli stocznie, zatrudnili „swoich”, jako dyrektora ds. produkcji wyznaczyli Sasina, wyprodukowali statek, statek poszedłby na dno w pierwszym rejsie, a my jako wytłumaczenie podawalibyśmy Titanica, że też na dno poszedł. A obok stoczniowcy z innych stoczni, którzy stworzyli kilkaset statków się przyglądają i rechoczą. Choć w sumie – po Twoim komentarzu – to chyba cała prawica tak działa. Uczy się czegoś co jest oczywiste/dostępne, tylko dlatego że daje robotę swoim którzy nic nie umieją i dopiero się uczą. Ale są swoi, więc pewni – kij że stadnina będzie bankrutem, nasz zarządza:P

        Odpowiedz
    • 2021.01.21 22:28 rembal

      Po co maja miec opcje przypominania hasla, jesli mozesz w kazdej chwili zmienic przez sql injection ;)

      Odpowiedz
  • 2021.01.21 11:05 Darek

    Czy do wszystkiego trzeba mieszać politykę ?
    Podoba mi się, że pomogliście szybko wyszukać błędy i pomóc kolegom z branży, którzy najwidoczniej nie przemyśleli swojej konfiguracji.

    Ludzie IT powinni się wspierać nawzajem.

    Nie rozumiem tego hejtu, który tu się wylewa z wypowiedzi niektórych kolegów szczególnie o podłoży politycznym czy nawet rasistowskim.

    Co to ma do rzeczy, że programista czy administrator jest prawicowy czy lewicowy.

    Jako profesjonaliści powinniśmy być ponad takie podziały.

    Odpowiedz
    • 2021.01.21 14:03 dx0

      > Czy do wszystkiego trzeba mieszać politykę ?

      Nie trzeba i nie do wszystkiego, ale tutaj można.

      Serwis pod auspicjami niewyrafinowanego propagandzisty, pana Tomasza Sakiewicza, trudno uznać za niepolityczny.

      Odpowiedz
      • 2021.01.21 23:47 teos

        Gdyby FB byl apolityczny calej tej szopy by nie bylo. Dziwicie sie ze po takim numerze z Trumpem (nie pierwszym w wykonaniu FB ale jak dotad najmocniejszym) ludzie zaczeli sie od niego odwracac? Jak komus sie podoba bo akurat glanuja nie jego opcje polityczna to co powie jak przyjdzie jego kolej? Ja to sie akurat ciesze ze FB juz nie bedzie udawac apolitycznego i ze ojej kapital ma narodowosc a spolecznosciowka swiatopoglad.

        Odpowiedz
    • 2021.01.21 14:12 Mikolaj

      Tylko… Oni sami mieszają się w politykę zapowiedziami o tym jak to będzie kraina hejtem i bezprawiem płynąca w ramach przeciwstawienia się złu ze strony lewicowych portali?

      Odpowiedz
    • 2021.01.21 15:38 Andrzej

      Panie Darek!
      W Słowie Niezależnym nie ma ludzi IT. Wyłącznym kryterium personalnym jest MBaW (Mierny, Bierny ale WIERNY).
      Więc nie ma co żałować buców i kretynów.

      Przypominam!
      „…My to pany, reszta to chamy.
      oraz
      „…Komuniści i złodzieje”

      A TS …??? To taki „frontman” sterowany z tylnego siedzenia przez Nowogrodzką.

      Odpowiedz
    • 2021.01.25 18:07 tommie

      Widzisz, to portal/sm polityczne w założeniu. Więc polityka się sama narzuca.
      I oddaje ten chaos i brak podstawowej wiedzy tych którzy go tworzą. Wśród devsów jest na pęczki prawicowców, dobrych devsów – ale nikt im nie zaproponował nawet współpracy. Bo jak to zwykle bywa – zabrali się za to ludzie których dotychczasowe doświadczenie zawodowe ogranicza się do sępienia publicznych pieniędzy, a jak sam Sakiewicz przyznał, jeszcze żaden z tych co to pisali kasy nie dostał. I kosztowało to coś ok 100k pln – to oznacza z grubsza zespól 6-7 osobowy przez miesiąc. A podobno za tą kasę pracowało ok 100 osób. Tak więc, jakby nie spojrzeć, po taniości, z najsłabszymi specami, po prostu Sasinizm i Szumowski z zakupem respiratorów u handlarza bronią. Może jeszcze Ci kolesie od stadniny w Janowie.

      Odpowiedz
    • 2021.01.26 15:56 dsada

      Właśnie w tym problem, że to nie są profesjonaliści, widać, że ktoś chciał oszczędzić na specjalistach. Brzydzę się takim podejściem i z całym zaangażowaniem wspieram hejt.
      Do dialogu potrzebny jest partner. Tutaj nie ma wysiłku z drugiej strony. Wspieranie nie polega na ciągnięciu za rączkę przez bagno.

      Odpowiedz
  • 2021.01.21 11:36 Zorientowany

    Znając pomysły tych pislamskich zło…, to pewnie przytuli dotacje na innowacje ;) na kilka MLN za ten projekt. Tak jak słynny portal o puszczy, za ponad 7 MLN budżetowych PLN. Zrobili to jacyś studenci, na praktykach w państwowych firmach.

    Odpowiedz
  • 2021.01.21 11:39 Morris

    Problem oczywiście jest innego kalibru. Z konkurencją Facebooka jest jak z przepowiedniami końca świata – dużo szumu, dużo zapowiedzi a potem się okazuje że nic z tego nie ma. Sorki, jakiś polski portal odpala serwis na VPS na OVH, pewnie po kosztach i bez loadbalancerów, na bazie kodu bez większego audytu i co, serio chcą pokonać fb? Wolnisłowianie? Przecież nasza-klasa ma o lata świetlne większy potencjał niż te fb-killery.

    Odpowiedz
  • 2021.01.21 11:47 Janusz

    Al Bicla? Al-Bikla? Oj coś tu pachnie pieczoną baraniną i hummusem :)

    Odpowiedz
  • 2021.01.21 12:27 Paweł

    Swoją drogą… ktoś coś jeszcze pisze w PHP? XD

    Odpowiedz
    • 2021.01.21 13:37 student informatyki

      A poza Pythonem i JS (+ różnymi technologiami z nim powiązanymi) naukę jakiego języka do programowania webowego polecasz?
      Pytam serio.

      Odpowiedz
      • 2021.01.21 16:20 absolwent

        angielskiego

        Odpowiedz
        • 2021.01.21 17:39 Joker

          Angielski znam biegle w mowie i piśmie, ale przyłączam się do pytania o język programowania.

          Odpowiedz
      • 2021.01.21 17:22 myto

        Jest tyle języków do webdevu, że można polecić „ten, w którym się najwygodniej pisze”. Ja się ostatnio wkręciłem w Kotlina i widzę, że ich rozwiązania do pisania serwerów HTTP są bardzo wygodne.

        Odpowiedz
        • 2021.01.21 18:18 Kropp

          Dzięki!

          Ktoś ma jeszcze jakieś inne sugestie?

          Odpowiedz
        • 2021.01.25 18:14 tommie

          Jest wiele języków w których można pisać weba. Wielu wieszczyło śmierć phpa. Wielu wieszczy. I wciąż ponad połowa internetu stoi na php, w tym fb, otwierany codziennie przez pół populacji ludzkiej.
          devsi z php są jednymi z tańszych na rynku, a do zastosowań małych/średnich przedsięwzięć webowych – w zupełności wystarczający.

          Odpowiedz
      • 2021.01.21 21:14 Duży Pies

        Python, JavaScript, Ruby.
        Powiem Ci tak: naucz się jednego ale perfekcyjnie. Niech to będzie Python (ze względu na jego potężne możliwości) albo Ruby (także ze względu na jego duże możliwości i szybkość). JavaScript jest praktycznie wszędzie upchany w technologiach webowych, więc trzeba go znać, przynajmniej na poziomie śreniozaawansowanym.
        Ja bym wybrał Pythona. Przerób najważniejsze książki do niego z Heliona, jest ich kilkanaście, z kilkudziesięciu dostępnych. Przerób dokładnie, rozdział po rozdziale, tak żeby Cię w Pythonie nic nie zaskoczyło. Sam się go uczę, ze względu na cybersecurity i dosłownie fascynuje mnie coraz bardziej. Świetny język, odziedziczył po Perlu i C najlepsze cechy. Do tego dochodzi wiele bibliotek, pozwalających wyczarować co się tylko chcesz. Ostatnio zabrałem się za bibliotekę Pandas i wciągnęło mnie.

        Odpowiedz
        • 2021.01.24 14:07 Anonek

          Ruby? Przecież ten język zdycha XDD

          Odpowiedz
      • 2021.01.26 16:00 dsfgfsg

        Zadajesz złe pytania. To w jakim języku coś tworzysz ma co najwyżej drugorzędne znaczenie.

        Odpowiedz
    • 2021.01.21 14:30 AjentS

      nie, przecież teraz wszyscy piszą w COBOLu :)

      Odpowiedz
    • 2021.01.21 16:52 nitro

      np. ja
      bo się pisze szybko

      Odpowiedz
      • 2021.01.22 18:04 Paweł

        Zgadza się, szybko i do d….

        Odpowiedz
  • 2021.01.21 12:40 ass

    „Opis sytuacji niezwłocznie przesłaliśmy na adres kontaktowy serwisu”

    No i po cholerę im pomagacie, serio?

    Odpowiedz
    • 2021.01.21 12:46 Adam Haertle

      A co użytkownicy tego serwisu winni? Ich trzeba chronić, bez względu na to, komu kibicują

      Odpowiedz
  • 2021.01.21 16:24 ff

    To jaki tam był ruch, że się im to zawieszało?
    ddos?

    Odpowiedz
  • 2021.01.23 12:24 Brawo

    „Dlaczego? Być może są wśród was osoby, które wolą patrzeć, jak świat przeciwników politycznych płonie, ale w takiej sytuacji preferencje polityczne nie mają żadnego znaczenia.”
    Fajnie to brzmi, niczym samokrytyka składana na plenum. Może będzie wam policzone w Nowym Wspaniałym Świecie. A może nie. W każdym razie dobrze, że się wytłumaczyliście.

    Odpowiedz
  • 2021.01.23 15:25 radzio

    Ilu tu specjalistów od win 2.0

    Odpowiedz
  • 2021.01.25 13:30 a

    „Hasło za krótkie, prosimy użyć od 8 do 32 znaków” ograniczenie długości hasła do 32 znaków w 2021? ROTFL.

    Odpowiedz
  • 2021.01.25 18:44 #

    Taki narodowy portal społecznościowy, a nazwa jest skrótem jakiegoś angielskiego zdania? Żałosne, jak zresztą wszystko, co jest „narodowe” w tym kraju.

    Odpowiedz
  • 2022.09.26 14:36 Michał

    Tak z czystej ciekawości – raczej w czystym PHP tego nie pisali, tylko za pomocą jakiegoś frameworka, który powinien chronić przed takimi wpadkami z automatu. Więc jakim cudem?

    Odpowiedz

Zostaw odpowiedź do Hańba

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak można było pobrać bazę użytkowników serwisu Albicla.com

Komentarze