Choć na najnowszym portalu dla konserwatystów działy się rzeczy niestworzone, to jego główny twórca długo twierdził, że wycieku danych użytkowników nie było. Oto cztery historie pokazujące nieco inną perspektywę na tę sytuację.
W sobotni poranek użytkowników Albicla.com przywitał niecodzienny widok. Główny profil serwisu zmienił barwy z firmowych na dużo bardziej tęczowe. Potem tęcza, jak to w przyrodzie, to znikała, to znowu się pojawiała. Zgłosił się do nas prawdopodobny sprawca tego zjawiska, wyjaśniając, że tęcza jest najmniejszym problemem dla serwisu, gdyż dane osobowe jego użytkowników na pewno wyciekły. Wiemy o co najmniej czterech różnych sposobach.
Tęczowy poranek na Albicla.com
W ostatnich dniach kontaktowały się z nami różne osoby, pragnące zachować anonimowość, które przekazywały nam informacje na temat podatności w serwisie Albicla lub swoich, czasem bardzo udanych, prób ich wykorzystania. Wszystkie istotne informacje o aktywnych podatnościach przekazaliśmy administracji serwisu, a poniżej znajdziecie najciekawsze historie. Zaczniemy od tęczy i kont oficjalnych.
W piątek na forum Cebulka użytkownik Phantoms opublikował taki oto wpis o serwisie Albicla.
Zawiera on linki do naszych artykułów, dane trzech kont administracyjnych (login, e-mail, hash hasła) oraz strukturę danych tablicy zawierającej dane użytkowników. Według naszej wiedzy prezentowana struktura danych odpowiada parametrom zapisanym w kodzie źródłowym strony.
Tego samego dnia ten sam użytkownik zamieścił także ofertę sprzedaży bazy danych serwisu Albicla.
Oferował nie tylko niecałe 10 000 kont (stan na piątek wieczorem), ale także złamane hasła około połowy użytkowników. Dane prawdopodobnie zostały pozyskane za pomocą ataku typu SQLi, która to podatność znajdowała się chyba w każdym parametrze każdego zapytania do serwisu.
Skąd wiemy, że opublikowane hasze haseł administratorów serwisu są prawdziwe? Mówi nam to tęcza, która w sobotę przyozdobiła profil serwisu. Wyglądało to tak:
Kolorowa tęcza pojawiła się zarówno w zdjęciu profilowym głównego konta serwisu, w zdjęciu tła profilu, jak i w poście widocznym na stronie głównej Albicla.com. Dzięki jednemu z naszych informatorów wiemy, jak się tam znalazła.
Okazuje się, że publikacja haszy haseł na Cebulce zbiegła się z odkryciem, że serwis rozpoznaje użytkownika po parametrach jednego ciasteczka. Wystarczyło ustawić ciasteczko o nazwie
aa_user
i nadać mu wartość
1000000000.cd96c4260b45ef5552d341f5e1385e49
a następnie odświeżyć stronę i otrzymać uprawnienia konta Albicla (o identyfikatorze 100000000). Nasz informator twierdzi, że sam był zaskoczony efektem tak prostej operacji, a mając kontrolę nad kontem, postanowił nieco przyozdobić serwis czymś bardziej kolorowym. Przez kilka minut na zmianę modyfikował zdjęcie profilowe i wpisy głównego profilu strony, aż ktoś konto Albicla po prostu usunął. Nie wiemy, czy był to administrator, który nie potrafił odzyskać kontroli, czy inny użytkownik, który odkrył taką funkcję (o tym za moment). Konto wkrótce wróciło, a sztuczka z ciasteczkiem już na nim nie działała.
Komu konto oficjalne, komu?
Pamiętacie, że we wpisie z Cebulki były trzy konta administracyjne? Drugie miało takie samo hasło jak pierwsze i podobno sztuczka z ciasteczkiem nie zadziałała, ale podmiana poskutkowała dla trzeciego konta i nasz informator odzyskał uprawnienia administratora. Tym razem jednak, zamiast rozsiewać tęczę, odwiedził tajny link ukryty w kodzie źródłowym serwisu:
https://albicla.com/vip-tools/users/list/{0-5}
pod którym odkrył panel do zarządzania użytkownikami. Jak twierdzi, pod kolejnymi wartościami liczbowymi od 0 do 5 znalazł pełną listę użytkowników z ich pseudonimami, adresami e-mail, zdjęciami profilowymi i guzikami umożliwiającymi usuwanie kont lub ustawianie ich jako oficjalne. W ten sposób mógł poznać adresy e-mail wszystkich kont w serwisie. Wyglądało to tak:
Choć mógł usunąć dowolne konto, to – jak sam twierdzi – postanowił raczej rozdawać niż zabierać i hojnie używał guzika „Oficjalny”. I faktycznie, analiza historii wpisów na Wykopie pod tagiem „Albicla” pokazuje wiele osób zaskoczonych, że konta trolli na Albicla otrzymały status oficjalnych. Przegląd listy przykładów pokazuje takie słynne osoby jak:
Na liście profili oficjalnych pojawił się także słynny Kamil Tumulec.
Ktoś słusznie zauważył, że prawdopodobnie przesłał skan dowodu tożsamości...
Nie wiemy, które z wyżej wymienionych kont nadal żyją – cykl egzystencji kont na Albicla jest dość nieprzewidywalny. Wiemy jednak, że zrzuty ekranu opublikowane przez wyraźnie zaskoczonych posiadaczy „kont oficjalnych” są solidnym potwierdzeniem prawdziwości słów naszego informatora. Fragment bazy, opublikowany na Cebulce, był prawdziwy, podobnie jak dostęp do interfejsu administratora, a za jego pomocą do adresów e-mail użytkowników portalu.
To oczywiście nie koniec
Mamy zatem wyciek 1 – na Cebulce, a także wyciek 2 – w panelu administratora. Czas na wyciek 3 – ten akurat był dostępny dla wszystkich użytkowników, którzy znali inny „tajny link” (który przestał być tajny w momencie wycieku kodu źródłowego serwisu, lecz mimo to był dostępny jeszcze przez wiele dni, aż do momentu, gdy zgłosiliśmy go administratorowi serwisu z prośbą o zablokowanie). Pod adresem
https://albicla.com/cron/email/rejestracja
można było na żywo poznawać adresy e-mail używane do zakładania kont w serwisie. Przy większej fali wysyłek e-maili wyglądało to tak:
Lista sama automatycznie odświeżała się co sekundę i de facto umożliwiała notowanie na żywo wszystkich adresów e-mail użytych w formularzu rejestracyjnym.
To nadal nie jest koniec
Mamy zatem wyciek 1 – baza na Cebulce, wyciek 2 – w panelu administratora, no i wyciek 3 – lista e-maili. Czas na wyciek 4. Według innego informatora w kodzie źródłowym serwisu znajdowały się login i hasło do skrzynki pocztowej serwisu Albicla. Mimo informacji o wycieku kodu źródłowego hasło to nie zostało zmienione przez kilka dni (było to inne hasło niż to, które trzykrotnie wyciekało w pliku konfiguracyjnym – to było zaszyte na stałe w pliku odpowiedzialnym za obsługę poczty serwisu). Nasz informator zweryfikował, czy hasło działało – i działało. A skrzynka [email protected] wyglądała tak:
To najwyraźniej adres, z którego w początkowej fazie działania serwisu wysyłano e-maile z linkiem do rejestracji. W skrzynce tej znajdowało się ponad 50 tysięcy e-maili zwrotnych, niedoręczonych do adresata (nagłe rozesłanie kilku czy kilkunastu tysięcy e-maili z reguły skutkuje wpisaniem na listy antyspamowe, więc to właśnie efekt tego nieprzemyślanego działania). Dodatkowo do tej skrzynki wpadały e-maile od osób, które w procesie rejestracji podały adres [email protected] jako swój – co widać na zrzucie ekranu. Nie wiemy, ile z tych ponad 50 tysięcy e-maili zwrotnych to unikalne adresy e-mail – ale wygląda na to, że nawet, jeśli ostatecznie nie udało się wam założyć konta na Albicla, to wasz adres e-mail i tak mógł wyciec.
To może już na dzisiaj wystarczy?
Chyba tak. Bo tego, że logo Albicla z e-maili z potwierdzeniem rejestracji prowadzi do https://albicla.dev nie będziemy się czepiać. Na koniec jeszcze tylko lekko zdezaktualizowany zrzut ekranu.
Ważne, że serwis ruszył w terminie!
Komentarze
Na litosc Boska. Niech ktos wezwie UODO!!!
Ale tam przecież pisior rządzi, to po co ich wzywać? Rączka rączkę myje…
To jest niestety prawda i to pokazuje jak wazne jest poprawnie dzialajace panstwo. Gdybym 6 lat temu wiedzial, ze takie bydlo dopcha sie do pasnika to bym wyjechal z tego kraju. To jest niepojete co sie tutaj dzieje. Jednych sie sciga za to ze cos powiedza publicznie, a inni pluja na lewo i prawo i nic im sie nie dzieje ; ludzie chca normalnie zyc, a wladza straszy ich policja i nielegalnymi ukazami. Niestety, ale nasze panstwo to fikcja.
Ja wiedzialem, bo cale moje zycie banda prostakow rzadzila Polska, dlatego wyjechalem juz 18lat temu. I nic sie nie zmienilo. Nigdy nie jest za pozno, pamietaj – to sie nie zmieni.
UODO proszę przyjechać na Albicla.com
Dlaczego uodo? nie ma nic gorszego niż wycieranie sobie twarzy tym tworem, zgodziliście się z regulaminem, że serwis nie ponosi odpowiedzialności za wycieki? no zgodziliście. Jeżeli ktoś tego zapisu nie będzie honorował to w sumie po co są regulaminy? tak kiedyś funkcjonowała sieć, żadnych takich instytucji, banalne regulaminy i wszystko było git. Osobiście nigdy niczego nie zgłoszę do uodo, stare czasy siedzą we mnie mocno :)
Nie ma czegoś takiego jak wyłączenie odpowiedzialności . Ten punkt regulaminu jest niezgodny z prawem krajowym i unijnym. Dostajesz dane to musisz o nie dbać przed nieautoryzowanym dostępem
Nie ponoszą odpowiedzialności za wyciek, ale incydenty powinny być odpowiednio zarządzane a osoba, której dane są przetwarzane powinna być poinformowana o wycieku tych danych.
Nie ponoszą jeśli dochowali staranności a tu ciężko będzie to uznać ;) Ten portal jest źle zbudowany od początku do końca.
Hmm… jasne, „stare czasy”.
To ja sobie napiszę w regulaminie escape roomu, że nie odpowiadam za pożary i śmierć osób podczas gry. I jak będzie mi groziła odpowiedzialność to powiem że było w regulaminie.
Żeby nie było „to nie to samo” – to tak samo założę bank i powiem, że „nie odpowiadam za żadne ryzyko finansowe” a dodatkowo firmę telekomunikacyjną i powiem, że „nie odpowiadam zgodnie z regulaminem za bezpieczeństwo danych” i sprzedam pełną treść rozmów :D.
Złośliwe? Może troszkę, ale to pokazuje czemu w prawie mamy kodeks klauzul zakazanych i nie ma 100% wolności prawnej, bo potem takie kwiatki by powstawały.
Klient „nie posiada pełnej informacji” – nie każdy musi być prawnikiem żeby zakładając konto w banku czytać cały jego 100s regulamin.
Dokładnie tak. Zachodnioeuropejska demokracja w swoich założeniach opiera się na ochronie słabszych przed silniejszymi, m.in. takim kształtowaniu zasad rynku, żeby asymetria stron była wyrównywana. Dlatego na profesjonalnych uczestników rynku nakłada się większe obowiązki niż na konsumentów. Jest to podejście odwrotne niż libertariańskie „wygrywa silniejszy, kto przegrał ten frajer”.
Regulamin nie jest nad prawem. W regulaminie mozesz sobie wlasciwie napisac co chcesz, ale jak przychodzi co do czego to dziala tu prawo kraju lub UE, a o regulamin nikt sie nawet nie pyta.
Niech ktoś im włączy mikrofon i nagrywa bo chyba tylko już na to zasługują
Tak z ciekawości, dane wyciekły, załóżmy nawet, że „shit happens” ale w tej sytuacji chyba trzeba by zgłosić incydent RODO. Czy są jakieś informacje na temat tego, czy został zgłoszony i jakie kroki planuje podejmować GIODO? Czy tu nie było danych osobowych?
i co? uodo znacznie weryfikować papieży? tam większość kont to totalne fake, nie wiedziałem, że uodo to teraz taka mama internetu od wszystkiego, strach w tych czasach stworzyć stronę internetową bo jakiś plebs zacznie się skarżyć jaki to Internet straszny, eh, zostaną tylko same gigantyczne molochy których stać na takie serwisy i prawników, smutne czasy, kiedyś się o tym wiedziało i godziło, wszyscy żyli a czytanie niebezpiecznika to była przyjemność, a teraz? sama poliyka i pianie do mamusi z rodo/gdpr
Kiedyś nie było lepiej, było inaczej i pojawiały się inne patologie. RODO nie jest złe, ale trzeba przyznać, że działa co najwyżej średnio a przynajmniej nie tam gdzie było najbardziej potrzebne. I tak miało chronić przed takimi patologiami jakie miały min. kiedyś w yahoo. W pewnym sensie to wszystko jest mało istotne w tej sytuacji, ale cała sprawa ciekawi mnie głownie pod tym kontem, że istnieją przepisy(które wydaje mi się, że mają tutaj zastosowanie i jeśli się mylę to chętnie bym się dowiedział), które muszą być respektowane przez inne firmy, a tutaj UODO nie reaguje tak drastycznie, jak np. w przypadku firmy, która wysłała maila na zły adres.
kolego GIODO nie istnieje od 3 lat. a UODO, które jest właściwym organem zapewne nie wie o problemie bo wszyscy w internecie są „niech ktoś”
Nie, nie ma. Samo zaprzeczenie, ze do wycieku doszło, jest wprowadzeniem w błąd i zaniechaniem wykonania obowiązku informacyjnego w stosunku do użytkownika. Tego typu działania były dotychczas karane najsurowiej, ponieważ regulacje rodo są łamane z premedytacja.
W ogóle mam nadzieję że jest więcej podatności i zapanuje chaos jak ogłoszą że już po wszystkim, po prostu nie mogę znieść myśli że ktoś wziął za to pieniądze, jeszcze zapewne z podatków
Lewaki pobożne sie wcurwily i chcialy wlasnego fb, a lewaki bezbożne utrudniają im życie (Anonimowy „informator”)
Niezły show :D
@sadas
Odpowiednie dałeś rzeczy słowo :)
Święte słowa lewactwo nie chce dopuścić, by powstał portal prawych.
@P@wo
Nie zrozumiałeś. Przeczytaj jeszcze raz.
UODO!!!!!!!!
Na oficjalnym fejsie piszą że zarejestrowano się 100tys razy a jest 'aktywnych’ 30tys użytkowników, zróbcie jakiś updejt posta XD
a twórcy portalu leżą i mają bekę bo zrobiliście im darmowy audyt a wyciekiem danych nikt się nie przejmuje. I tak za parę tygodni portal będzie bezpieczny :D
> a wyciekiem danych nikt się nie przejmuje.
I za to powinni ponieść odpowiedzialność. Nie tylko w postaci kar od UODO, ale i odpowiedzialność karną. Są odpowiednie przepisy.
Jeśli startują z takiego poziomu, to nigdy nie będą bezpieczni. Nikt im audytu nie zrobił, póki co tylko hobbyści znajdują coraz to nowe błędy, ale przy tak fatalnej jakości produkcie to błędów raczej jest o wieeele więcej.
Bedziesz sie tym podniecal do usranej smierci, podobnie jak jakims maloletnim idiota z Belgii ? Pewnie nastepne tysiac prezentacji i prelekcji bedzie wlasnie o tym.
Tak, a co?
W sumie to zazdro, tyle materiału i przykładów zebrać na jednym serwisie… I to w tydzień… :-D
W sumie to fascynujący przykład jest. Występują tam podatności, o których się nawet w sensowniejszym liceum uczy i nikt z jakimkolwiek doświadczeniem ich nie popełnia. Tyle to nawet gościu na studiach nie zmieścił w jednym serwisiku, który przygotował jako żywy przykład masy podatności do hackowania na zajęciach.
Jakby mieli kiepełe to by się sproduktyzowali sprzedając kod źródłowy jako materiał szkoleniowy. Jeszcze by na nim mogli np. organizować coroczny promocyjny CTF.
Zastanawia mnie, co oznacza flaga „kgp” w tabeli użytkowników. Wtyka Komendy Głównej Policji?
Klubu Gazety Polskiej
Dzięki.
Za każdym razem jak złapię doła, że moja praca może nie mieć sensu, wtedy pomyślę sobie o ludziach, którzy stworzyli Albicla.com.
Dajcie już im spokój… Ludzie się rejestrowali, zakładali fejkowe konta, serwis poniósł porażkę wizerunkową i … to tyle, można gasić światło.
Pewnie jeszcze parę razy się podniosą, parę razy znów będzie wywalony w kosmos – i nie ma co ukrywać że są spaleni. Tyle dobrego że jest książkowe studium przypadku jak się nie brać za robienie stron www :-)
Hej pomyśl o tym inaczej, autorzy nie chcą sami pisać piątego artykułu, ale wiedzą też że to co się dzieje to świetne case study do pokazania różnych aspektów związanych z tematyką portalu. A że wszystkie dotyczą jedynego portalu to nie ich problem.
Problem w tym, że część założyła prawdziwe konta.
Światło zgasi fb, Twitter, insgram, jeszcze troszkę, i trolowska lewackie znikną.
„ALBICLA nie sprzedaje danych osobowych użytkowników ani nie udostępnia informacji, które umożliwiają bezpośrednią identyfikację użytkowników (takich jak imię i nazwisko, adres email czy inne dane kontaktowe) bez wyraźnej zgody użytkowników.”
I wszystko jasne – informacje o wyciekach to prowokacja – wszyscy użytkownicy zgodzili się, by ich dane osobowe latały po całym internecie :).
Nawiasem, regulamin i polityka prywatności – już po tym widać że to amatorszczyzna aż piszczy.
O co wam chodzi z tym zrzutem ekranu. Jest aktualny i prawdziwy. Tam nie ma przecinka ;) Faktycznie tylko z tego pośpiechu wcięło mu dwa słowa na początku: „To że „. I kto mu zarzuci nieprawdę skoro już w tym wpisie się przyznał. Sprytne :D
Bez jaj, po co zgłaszacie tym dzbanom ich własne błędy? Za pentesty się płaci!
Mój tweet :)
https://niezalezna.pl/375976-tworzymy-wolny-swiat-w-internecie
Polecam przeczytać dla dopełnienia całości obrazu :P
Albaca za bardzo sobie wzięła ideę open source do serca. ;)
Czy naprawdę wpadliśmy już Tak nisko
Adamie, ale miało już nie być o ich wpadkach niespektakularnych :)
[no dobra, ale chcemy więcej, bo to fajna nauka :) ]
Panu Sakiewiczowi po prostu myślnik się zagubił. Powinno być:
„Nie było żadnego wycieku danych – to kłamstwo”.
Czy można sobie tą albikle ściągnąć na dysk ? Bo DVWA już mi się znudziło ;)
Wiecie, że w panelu użytkownika nie można zmienić hasła? Czyli jak hashkoty wykonają robotę to się znowu będzie działo.
Nie oszukujmy się, serwisy tego typu powstają i za chwilę upadają. Ten wygląda jak gdyby był postawiony na darmowej wersji jakiegoś PHP dostępnych na niektórych stronach. Samo twierdzenie, że miała by być to strefia niczym vk w Rosji gdzie dowolna treść nie jest usuwana o ile nie razi w władzę jest nie po drodze, ze względu na fakt, że obowiązują nas inne prawa niż kraje trzeciego świata. Każdy serwis musi być moderowany na wypadek pojawienia się osób łamiących podstawowe normy społeczne…
Jakby zrobili na zasadach grono.net (rejestracja z polecenia), to by mieli 3x mniej papieży. No cóż.
Ile można @adamh o tej abicli
Poziom twojego serwisu się ostatnio mocno obnizył :(
To kiedyś był wyższy? Kiedy?
Był wyższy pare lat temu.
A tak szczerze to nawet u Koniecznego są lepsze artykuły
To dobrze że masz wybór :)
Fajnie mieć wybór, co nie? Bo kobietom jest on odbierany.
@GalAnonim No jak to, przecież nie mamy wolnej woli, jesteśmy zdeterminowani przez ruchy materii, z której jesteśmy zbudowani? To jaki wybór?
Z niegroźnych? śmiesznych rzeczy dochodzi do tego, że działają dowolne subdomeny w serwisie i już się indeksują w Google :D np.:
https://wina-tuska.albicla.com
możecie sprawdzić przez site:albicla.com
Cześć,
„Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny…” właśnie zwróciłem, ale nie na waszej stronie, tylko w screenie z poczty Albicla:-) Jest tam „Dziękujemy za rejestracje” a powinno być „Dziękujemy za rejestrację” – liczba pojedyncza!
Pozdrawiam,
Daniel
Myślicie że to przypadek? A niby dlaczego nazwa serwisu rymuje się z „bar micwa”? To intryga grubymi nićmi szyta, mający zdyskredytować zdrową tkankę narodowego webmasteringu i devopsowania. I dobrze wiemy lep jakiej propagandy kryje się za tymi nićmi.
Hmmm… Czy Albicla to nowy WebGoat?
Chyba Danuta Cholecka miała was w znajomych. Ale error 500 już jest na waszym profilu:
https://albicla.com/ZaufanaTrzeciaStrona
To oczywiście nie był nasz profil :)
Niedlugo skonczy sie opisywanie wpadek tego panstwa z dykty i kartonu. Byc moze niedlugo beda mogli was odciac od reszty polskich internautow.
https://www.telepolis.pl/wiadomosci/prawo-finanse-statystyki/pis-chce-wylaczac-internet-wymowka-obronnosc-i-porzadek-publiczny
Proszę nie pisać „portal dla konserwatystów”. To jest portal dla „fanów Gazety Polskiej”, którzy jeśli już to są piso-narodowcami. Ja jestem konserwatystą i z tymi świrami nie chcę mieć nic wspólnego.
Czyli mamy nowy rodzaj kradzieży tożsamości. Jeśli mój skan dowodu osobistego wycieknie do internetu to każdy będzie się mogł nim posługiwać do uprawdopodobnienia fake konta. Nawet serwisy dla dorosłych mają lepszy mechanizm weryfikacji tożsamości, gdyż wymagają kilku zdjęć twarzy z kartką papieru, na której napisanane jest odpowiednie słowo.
A to Albicla wymaga przesłania skanu dokumentu?
Nawet gdyby była dobrze zabezpieczona – a jak widzimy, nie jest – to jest to bardzo, bardzo zła praktyka. I to nie tylko ze względu na groźbę wycieku.
„Choć na najnowszym portalu dla konserwatystów”
Trochę to obraża konserwatystów. Myślę, żę można być konserwatystą i nie być ciulem.
To niestety coraz rzadsze :-( Wielu ludzi, którzy jeszcze z 10 lat temu uchodziliby za konserwatystów, udaje teraz nacjonalistów czy innych radykałów dla lajków i kasy z kliknięć…
Tymczasem na niezalezna.pl twierdzą, że żadnego wycieku danych nie było, bo tak ustaliła ABW.
Cytat:
„Albicla wystartowała bez wielu funkcjonalności, trolle bluzgały, Agora rechotała, trwał ostrzał fake newsów o wycieku danych użytkowników (ABW ustaliła, że żadnego wycieku NIE BYŁO!). A karawana pojechała dalej. Po zbanowaniu przez facebooka Australii śmichy-chichy przycichły. Pośród jazgotu powstało nowe pole polskiej wolności, udoskonalane prawie codziennie. Nie być na Albikli niczym jakiś pieprzony leming to już trochę obciach, niech facebooki i twittery staną się dla nas kontami numer dwa”
Cały tekst:
https://niezalezna.pl/381429-lisiewicz-albicla-to-nie-falstart-a-szybki-start-do-pilki-po-australii-smichy-chichy-ucichly-a328539