O tęczy na Albicla.com i wyciekach danych, których wcale, ale to wcale nie było

dodał 25 stycznia 2021 o 21:21 w kategorii Info, Wpadki  z tagami:
O tęczy na Albicla.com i wyciekach danych, których wcale, ale to wcale nie było

Choć na najnowszym portalu dla konserwatystów działy się rzeczy niestworzone, to jego główny twórca długo twierdził, że wycieku danych użytkowników nie było. Oto cztery historie pokazujące nieco inną perspektywę na tę sytuację.

W sobotni poranek użytkowników Albicla.com przywitał niecodzienny widok. Główny profil serwisu zmienił barwy z firmowych na dużo bardziej tęczowe. Potem tęcza, jak to w przyrodzie, to znikała, to znowu się pojawiała. Zgłosił się do nas prawdopodobny sprawca tego zjawiska, wyjaśniając, że tęcza jest najmniejszym problemem dla serwisu, gdyż dane osobowe jego użytkowników na pewno wyciekły. Wiemy o co najmniej czterech różnych sposobach.

Tęczowy poranek na Albicla.com

W ostatnich dniach kontaktowały się z nami różne osoby, pragnące zachować anonimowość, które przekazywały nam informacje na temat podatności w serwisie Albicla lub swoich, czasem bardzo udanych, prób ich wykorzystania. Wszystkie istotne informacje o aktywnych podatnościach przekazaliśmy administracji serwisu, a poniżej znajdziecie najciekawsze historie. Zaczniemy od tęczy i kont oficjalnych.

W piątek na forum Cebulka użytkownik Phantoms opublikował taki oto wpis o serwisie Albicla.

Zawiera on linki do naszych artykułów, dane trzech kont administracyjnych (login, e-mail, hash hasła) oraz strukturę danych tablicy zawierającej dane użytkowników. Według naszej wiedzy prezentowana struktura danych odpowiada parametrom zapisanym w kodzie źródłowym strony.

Tego samego dnia ten sam użytkownik zamieścił także ofertę sprzedaży bazy danych serwisu Albicla.

Oferował nie tylko niecałe 10 000 kont (stan na piątek wieczorem), ale także złamane hasła około połowy użytkowników. Dane prawdopodobnie zostały pozyskane za pomocą ataku typu SQLi, która to podatność znajdowała się chyba w każdym parametrze każdego zapytania do serwisu.

Skąd wiemy, że opublikowane hasze haseł administratorów serwisu są prawdziwe? Mówi nam to tęcza, która w sobotę przyozdobiła profil serwisu. Wyglądało to tak:

Kolorowa tęcza pojawiła się zarówno w zdjęciu profilowym głównego konta serwisu, w zdjęciu tła profilu, jak i w poście widocznym na stronie głównej Albicla.com. Dzięki jednemu z naszych informatorów wiemy, jak się tam znalazła.

Okazuje się, że publikacja haszy haseł na Cebulce zbiegła się z odkryciem, że serwis rozpoznaje użytkownika po parametrach jednego ciasteczka. Wystarczyło ustawić ciasteczko o nazwie

aa_user

i nadać mu wartość

1000000000.cd96c4260b45ef5552d341f5e1385e49

a następnie odświeżyć stronę i otrzymać uprawnienia konta Albicla (o identyfikatorze 100000000). Nasz informator twierdzi, że sam był zaskoczony efektem tak prostej operacji, a mając kontrolę nad kontem, postanowił nieco przyozdobić serwis czymś bardziej kolorowym. Przez kilka minut na zmianę modyfikował zdjęcie profilowe i wpisy głównego profilu strony, aż ktoś konto Albicla po prostu usunął. Nie wiemy, czy był to administrator, który nie potrafił odzyskać kontroli, czy inny użytkownik, który odkrył taką funkcję (o tym za moment). Konto wkrótce wróciło, a sztuczka z ciasteczkiem już na nim nie działała.

Komu konto oficjalne, komu?

Pamiętacie, że we wpisie z Cebulki były trzy konta administracyjne? Drugie miało takie samo hasło jak pierwsze i podobno sztuczka z ciasteczkiem nie zadziałała, ale podmiana poskutkowała dla trzeciego konta i nasz informator odzyskał uprawnienia administratora. Tym razem jednak, zamiast rozsiewać tęczę, odwiedził tajny link ukryty w kodzie źródłowym serwisu:

https://albicla.com/vip-tools/users/list/{0-5}

pod którym odkrył panel do zarządzania użytkownikami. Jak twierdzi, pod kolejnymi wartościami liczbowymi od 0 do 5 znalazł pełną listę użytkowników z ich pseudonimami, adresami e-mail, zdjęciami profilowymi i guzikami umożliwiającymi usuwanie kont lub ustawianie ich jako oficjalne. W ten sposób mógł poznać adresy e-mail wszystkich kont w serwisie. Wyglądało to tak:

Choć mógł usunąć dowolne konto, to – jak sam twierdzi – postanowił raczej rozdawać niż zabierać i hojnie używał guzika „Oficjalny”. I faktycznie, analiza historii wpisów na Wykopie pod tagiem „Albicla” pokazuje wiele osób zaskoczonych, że konta trolli na Albicla otrzymały status oficjalnych. Przegląd listy przykładów pokazuje takie słynne osoby jak:

Na liście profili oficjalnych pojawił się także słynny Kamil Tumulec.

Ktoś słusznie zauważył, że prawdopodobnie przesłał skan dowodu tożsamości...

Nie wiemy, które z wyżej wymienionych kont nadal żyją – cykl egzystencji kont na Albicla jest dość nieprzewidywalny. Wiemy jednak, że zrzuty ekranu opublikowane przez wyraźnie zaskoczonych posiadaczy „kont oficjalnych” są solidnym potwierdzeniem prawdziwości słów naszego informatora. Fragment bazy, opublikowany na Cebulce, był prawdziwy, podobnie jak dostęp do interfejsu administratora, a za jego pomocą do adresów e-mail użytkowników portalu.

To oczywiście nie koniec

Mamy zatem wyciek 1 – na Cebulce, a także wyciek 2 – w panelu administratora. Czas na wyciek 3 – ten akurat był dostępny dla wszystkich użytkowników, którzy znali inny „tajny link” (który przestał być tajny w momencie wycieku kodu źródłowego serwisu, lecz mimo to był dostępny jeszcze przez wiele dni, aż do momentu, gdy zgłosiliśmy go administratorowi serwisu z prośbą o zablokowanie). Pod adresem

https://albicla.com/cron/email/rejestracja

można było na żywo poznawać adresy e-mail używane do zakładania kont w serwisie. Przy większej fali wysyłek e-maili wyglądało to tak:

Lista sama automatycznie odświeżała się co sekundę i de facto umożliwiała notowanie na żywo wszystkich adresów e-mail użytych w formularzu rejestracyjnym.

To nadal nie jest koniec

Mamy zatem wyciek 1 – baza na Cebulce, wyciek 2 – w panelu administratora, no i wyciek 3 – lista e-maili. Czas na wyciek 4. Według innego informatora w kodzie źródłowym serwisu znajdowały się login i hasło do skrzynki pocztowej serwisu Albicla. Mimo informacji o wycieku kodu źródłowego hasło to nie zostało zmienione przez kilka dni (było to inne hasło niż to, które trzykrotnie wyciekało w pliku konfiguracyjnym – to było zaszyte na stałe w pliku odpowiedzialnym za obsługę poczty serwisu). Nasz informator zweryfikował, czy hasło działało – i działało. A skrzynka [email protected] wyglądała tak:

To najwyraźniej adres, z którego w początkowej fazie działania serwisu wysyłano e-maile z linkiem do rejestracji. W skrzynce tej znajdowało się ponad 50 tysięcy e-maili zwrotnych, niedoręczonych do adresata (nagłe rozesłanie kilku czy kilkunastu tysięcy e-maili z reguły skutkuje wpisaniem na listy antyspamowe, więc to właśnie efekt tego nieprzemyślanego działania). Dodatkowo do tej skrzynki wpadały e-maile od osób, które w procesie rejestracji podały adres [email protected] jako swój – co widać na zrzucie ekranu. Nie wiemy, ile z tych ponad 50 tysięcy e-maili zwrotnych to unikalne adresy e-mail – ale wygląda na to, że nawet, jeśli ostatecznie nie udało się wam założyć konta na Albicla, to wasz adres e-mail i tak mógł wyciec.

To może już na dzisiaj wystarczy?

Chyba tak. Bo tego, że logo Albicla z e-maili z potwierdzeniem rejestracji prowadzi do https://albicla.dev nie będziemy się czepiać. Na koniec jeszcze tylko lekko zdezaktualizowany zrzut ekranu.

Ważne, że serwis ruszył w terminie!