Skąd porno na rządowej witrynie, czyli jak stracić kontrolę nad swoją stroną

dodał 4 marca 2019 o 23:25 w kategorii Wpadki  z tagami:
Skąd porno na rządowej witrynie, czyli jak stracić kontrolę nad swoją stroną

Dzisiaj przez kilkadziesiąt minut na niezwykle kiedyś popularnej witrynie loteriaparagonowa.gov.pl promowane były treści pornograficzne. Znalazły się tam w trywialny sposób – i Twoja stara strona też może być podatna.

Była sobie strona, a potem ktoś zapomniał

Choć na stronach w domenie .gov.pl trafić można na różne dziwne treści, to nowa zawartość witryny poświęconej Loterii Paragonowej mogła zaskoczyć nawet doświadczonych bywalców. Treści arabskie i rosyjskie były bogato udekorowane ostrą pornografią. Skąd taka niespodzianka?

Zaciemnić trzeba było w zasadzie cały ekran

Scenariusz wydarzeń okazuje się bardzo prosty. Analiza zapisów utrwalonych w repozytoriach danych wskazujących na historię wpisów w DNS nie pozostawia wiele wątpliwości. Witryna loteriaparagonowa.gov.pl była dość aktywnie eksploatowana w latach 2016-2017. Jej wpisy w DNS wskazywały, że informację o lokalizacji jej faktycznego serwera przechowuje firma Cloudflare – popularna usługa ukrywająca lokalizację witryny i łagodząca skutki ataków DDoS. Mimo opuszczenia projektu Loterii Paragonowej domena nadal była aktywna – lecz najwyraźniej jej konfiguracja po stronie Cloudflare zniknęła. Nie wiemy, czy konto ją obsługujące zostało zlikwidowane, czy po prostu nie zostało opłacone. W każdym razie wpisy w DNS wskazywały na Cloudlfare, a tam nie było żadnej informacji o tym, gdzie trafiać mają osoby odwiedzające stronę.

Tę sytuację postanowili wykorzystać źli (i przedsiębiorczy) ludzie. Witryna Loterii Paragonowej jest tylko jedną z setek, które padły ich ofiarami. Źli ludzie zidentyfikowali strony, których rekordy DNS wskazywały na Cloudflare, lecz które nie były już przez Cloudflare obsługiwane i po prostu przypisali je do swoich kont Cloudflare, a następnie przekierowali na stronę porno, zapewne zarabiając na generowanym w ten sposób ruchu. Proste a skuteczne.

Co tam było?

Jeśli chcecie zobaczyć, co było na stronie Loterii Paragonowej, zanim w brawurowej akcji nie została wyłączona przez powołane do tego celu zespoły bezpieczeństwa (reakcja – i to skuteczna – około godziny od zaistnienia incydentu godna jest pochwały), to możecie znaleźć kopię tutaj (uwaga, zawiera treści nieprzeznaczone dla niepełnoletnich). Podobny los spotkał wiele innych stron, w tym np. skrócony adres jednego z polskich serwisów o bezpieczeństwie, BadSector, pod domeną badsec.pl (uwaga, nadal przekierowuje na treści pornograficzne). Sporą listę przejętych domen znajdziecie pod adresami:

Wszystkim osobom prowadzącym serwisy internetowe, do których już straciły zapał lub o nich zapomniały, polecamy weryfikację, czy wpisy domeny nie wskazują na firmę, w której domena nie jest przypisana do żadnego konta – najwyraźniej ktoś poluje na takie przypadki i bezwzględnie je wykorzystuje.