Strony KWP Szczecin – sześć włamań od początku roku
Jak wiadomo, z zabezpieczeniami serwerów www bywa bardzo różnie. Większość z nich padła lub padnie ofiarą włamywaczy. Co jednak można powiedzieć o serwisie Komendy Wojewódzkiej Policji, do którego ktoś włamuje się średnio co miesiąc?
Ktokolwiek odpowiada za zabezpieczenia serwera, na którym umieszczone są witryny Komendy Wojewódzkiej Policji w Szczecinie, nie ma się w tym roku zbytnio czym pochwalić. TVN24 właśnie poinformował, że zmieniła swoją treść główna strona www KWP. Nowa wersja dzisiaj rano wyglądała tak:
Strona KWP Szczecin (źródło: TVN24)
Pod włamaniem podpisała się grupa „Algerian Hackers”. Nie są to jednak jedyni goście w tym roku w tej domenie. Szukając informacji na potrzeby tego artykułu natrafiliśmy na ślady następujących incydentów:
- 13 stycznia 2013 www.szczecin.kwp.gov.pl (mesafir)
- 19 stycznia 2013 gateway.szczecin.kwp.gov.pl oraz przetargi.szczecin.kwp.gov.pl (SEJEAL)
Kolejne wlamanie
- 21 stycznia 2013 www.bip.szczecin.kwp.gov.pl (HighTech Brazil HackTeam)
- 5 kwietnia 2013 www.bip.szczecin.kwp.gov.pl (Saeed210)
I kolejne
- 9 kwietnia 2013 www.szczecin.kwp.gov.pl (Algerian to the core)
I jeszcze jedno
W wypowiedzi dla TVN24 policjantka z biura prasowego komendy wygłosiła znamienne zdanie:
Takie sytuacje się zdarzają a informacje zawarte na naszej stronie są ogólnodostępne
Zgadzamy się, że informacje są ogólnodostępne, ale czemu w ciągu 5 miesięcy taka sytuacja zdarzyła się przynajmniej 6 razy w jednej komendzie? To już po prostu zwyczajnie wstyd.
Podziękowania dla Pablo za podesłanie pierwszej informacji
Podobne wpisy
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)
- Bitomaty zhakowane przez trywialne błędy konfiguracji
No ale co w tym dziwnego? Ich strona bazuje na niewspieranej już Joomla 1.5.26, w której z tego co wiem znaleziono kilka dziur.
Dziwne to, że ciągle nic nie zmienili w tej kwesti…
Spokojnie ;-) Policja przeznaczy 1mld (jeden miliard złotych) na standaryzację komend. Dzięki temu wszystkie komendy będą dysponować tymi samymi podatnościami ;-)
Nowe logo już zrobili, huehue ;)
Stety lub niestety, żyjemy w kraju gdzie większość jednostek organizacyjnych ma strony internetowe w dwóch grupach:
1. Raz postawiony i niekatulizowany cms typu joomla, wordpress itp.
2. Kod napisany przez kuzyna brata ciotki prezesa.
Skutkuje to tym że pierwsze lepsze nie duże miasto ma stronę podatną przynajmniej na 1 atak który może wyrządzić jakieś szkody. Najdziwniejsze jest to że te strony zazwyczaj w budżecie oznaczają kwoty conajmniej 3-4 cyfrowe :/
Z drugiej jednak strony sytuacja pomału się poprawia, jeszcze kilka takich niezamówionych testów bezpieczeństwa i może zrozumieją że strony nie wystarczy zainstalować i zostawić a trzeba zadbać o jej bezpeiczeństwo. Pół biedy jeżeli kończy się podmianą strony głównej, gorzej jak któryś z urzędników ma takie samo hasło do CMS’a jak do poczty służbowej.