Poważny incydent w Gemiusie – skutki dla internautów mogły być katastrofalne

dodał 23 września 2016 o 10:00 w kategorii Włamania  z tagami:
Poważny incydent w Gemiusie – skutki dla internautów mogły być katastrofalne

Od paru dni docierały do nas plotki o problemach firmy Gemius, serwującej pliki JS na większości ważnych polskich witryn internetowych. Skutki incydentu w jej infrastrukturze mogły być katastrofalne dla bezpieczeństwa internautów.

Dzisiaj Gemius poinformował swoich klientów, że incydenty faktycznie miały miejsce, lecz jak na razie w treści komunikatu brak jest precyzyjnych informacji o skali włamania i o tym, czy włamywacze mogli przejąć kontrolę nad skryptami wstrzykiwanymi w strony przez Gemiusa obsługiwane.

Komunikat firmy

Dziennikarz Wojciech Boczoń opublikował na Twitterze następujący komunikat:

gemius

Jak możemy w nim wyczytać, między 9 a 24 sierpnia doszło do co najmniej 5 przypadków uzyskania nieuprawnionego dostępu do grupy serwerów w infrastrukturze Gemiusa. Firma informuje, że dane są bezpieczne, lecz nie może wykluczyć, że włamywacze uzyskali dostęp np. do zaszyfrowanych haseł klientów. Rozbierzmy ten komunikat na części składowe, ponieważ nie wygląda to dobrze.

Po pierwsze wskazany przedział czasowy pokazuje, że przez kilka tygodni włamywacze mieli dostęp do serwerów Gemiusa, a ten nie zorientował się w sytuacji. Zakładając, że wskazane daty są prawidłowe a włamanie nie zaczęło się dużo wcześniej, kilka tygodni to nie najgorszy wynik – jednak oznacza, że włamywacze mieli sporo czasu by spenetrować sieć firmy.

Po drugie ważna jest informacja, że incydent dotyczył więcej niż 1 serwera. To wskazuje, że włamywacze mogli poruszać się w sieci wewnętrznej. W połączeniu z informacją o tym, że firma nie ma pewności co do zakresu dostępu włamywaczy możemy bać się najgorszego.

Czy doszło do katastrofy?

Trzecim i najważniejszym elementem analizy jest to, czego w komunikacie brakuje. Gdy oglądacie strony internetowe w Polsce, to istnieje spora szansa, ze pobieracie dane z serwerów Gemiusa – w ramach monitorowania użycia sieci jego klienci wstawiają na swoje witryny odwołania do zewnętrznych skryptów. Jeśli przestępcy uzyskali dostęp do serwera, z którego te skrypty były pobierane, to mamy katastrofę – kto kontroluje ten serwer, ten może próbować infekować miliony komputerów w całym kraju (lub np. wybrać kilka z nich, które znajdują się we wskazanej sieci i wycelować swoją kampanię tylko w konkretnych użytkowników). Co gorsza wśród docierających do nas informacji znajdują się także sugestie, że w trakcie incydentu doszło do zmiany zawartości serwowanych plików. Nie otrzymaliśmy niezależnego potwierdzenia tego faktu, jednak jeśli jest to prawdą, to mamy do czynienia z jednym z najpoważniejszych incydentów bezpieczeństwa w historii polskiej sieci.

Czekamy obecnie na więcej informacji – jeśli możecie pomóc ustalić fakty, to zapraszamy do kontaktu, gwarantujemy anonimowość.

Aktualizacja 2016-09-23 13:30

Gemiusowi zadaliśmy dwa pytania:

  • czy doszło do nieautoryzowanych zmian treści plików serwowanych z serwerów Gemiusa
  • w jaki sposób został wykryty incydent.

W odpowiedzi otrzymaliśmy link do oświadczenia o treści:

Szanowni Państwo

potwierdzamy, że w sierpniu wychwyciliśmy atak hakerski. Klienci zostali poinformowani o sytuacji. Serwery i dane zostały zabezpieczone. Danym klientów nic nie grozi i są całkowicie bezpieczne. Współpracujemy z prokuraturą.

Obecnie wdrażamy system ISO 27001, który jest standardem związanym z bezpieczeństwem informacji. Jesteśmy wyposażeni w narzędzia sprawnego reagowania na zagrożenia. Podnosimy standardy zabezpieczeń i w tym celu planujemy kolejne audyty bezpieczeństwa.

Zarząd Gemius

Ciekawe, czy brak odpowiedzi na nasze pytania należy traktować jako odpowiedź twierdzącą przynajmniej na pierwsze z nich. Czekamy na Wasze informacje.

Aktualizacja 2016-09-23 17:00

Przeprowadziliśmy rozmowę o powyższym incydencie z panem Marcinem Pery, członkiem zarządu Gemiusa. W jej trakcie dowiedzieliśmy się, że:

  • włamywacz uzyskał dostęp do kilku serwerów o mniejszym znaczeniu dla firmy, gdzie mógł uzyskać dostęp do skrótów haseł użytkowników,
  • prawdopodobną przyczyną włamania mógł być brak odpowiednich aktualizacji oprogramowania,
  • Gemius przez pewien czas po zidentyfikowaniu włamania obserwował działania włamywacza by zyskać większą wiedzę na temat zakresu uzyskanego przez niego dostępu,
  • serwery krytyczne z punktu widzenia bezpieczeństwa internautów (czyli te serwujące pliki JS i graficzne osadzane na wielu stronach w całym internecie) znajdują się fizycznie i logicznie w innej lokalizacji i posiadają inny system zabezpieczeń,
  • analiza śladów pozostawionych przez włamywacza oraz funkcjonowania mechanizmów ochrony danych nie wskazują na to, by włamywacz dokonał modyfikacji danych klientów lub skryptów na krytycznych serwerach,
  • klienci firmy nie zgłosili nieautoryzowanych modyfikacji treści serwowanych przez Gemiusa,
  • według najlepszej wiedzy firmy serwowane dane nie były modyfikowane w nieautoryzowany sposób.

To pełne wyjaśnienie brzmi dość uspokajająco. Mamy nadzieję, że faktycznie nie doszło do naruszenia integralności danych serwowanych z sieci Gemiusa.