Redaktorzy Hack.pl odkryli niedawno lukę w serwerach firmy home.pl. Luka ta umożliwiała przeglądanie pełnych logów serwera każdego konta wirtualnego na home.pl. Oznacza to uzyskanie dostępu do takich informacji, jak host oraz ip odwiedzającego, dokładny czas, poprzednio otwarta strona itd. Taką lukę można też wykorzystać do wykrycia nazw plików czy folderów ukrytych przed ogólnym dostępem.

W wielu podobnych sytuacjach firmy zajmujące się bezpieczeństwem działają według następujących zasad: najpierw powiadamiają o luce odpowiedzialny za daną usługę serwis lub producenta programu, dając im określoną ilość czasu na załatanie. Informacja o błędzie publikowana jest dopiero, gdy druga strona upora się z problemem, lub gdy go zlekceważy i nie podejmie żadnych działań w wyznaczonym przez odkrywcę czasie.

Redaktorzy Hack.pl postąpili nieco inaczej i - jak podaje serwis hacking.pl - wysłali do home.pl list takiej treści:
Szanowni Państwo.

Znaleźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny. Jesteśmy przekonani, że może być wykorzystana na wiele sposobów przez ew. napastników.

Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem.

Wstępnie myśleliśmy tylko o napisaniu o błędzie na łamach HACK.pl, a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu.

Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.

Koszt informacji szacujemy wstępnie na 200,000 złotych, cena - oczywiście - podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.

Jesteśmy otwarci na propozycje, oferujemy audyt bezpieczeństwa. Mamy nadzieję, że wspólnie uda nam się wyeliminować ten i podobne niedociągnięcia.

Przedstawiciele home.pl twierdzą, że niezwłocznie po otrzymaniu informacji przeprowadzono szczegółowy audyt zabezpieczeń systemu hostingowego ich firmy. Według home.pl autorzy informacji przełamali zabezpieczenie i uzyskali nieuprawniony dostęp do statystyk oglądalności 6 serwisów internetowych ( zrzuty ekranów niektórych stron zostały kilka dni temu opublikowane na hack.pl) stosując metodę brute-force, czyli losowego generowania ciągów nazw katalogów ze statystykami.

Przeprowadzony audyt systemu hostingowego home.pl nie wykazał - według przedstawicieli firmy - istnienia jakichkolwiek krytycznych luk. Firma poinformowała właścicieli 6 serwisów internetowych o próbie uzyskania nieautoryzowanego dostępu do ich treści.

Teraz firma home.pl podjęła działania mające na celu pociągnięcie do odpowiedzialności prawnej osób, które dążyły do uzyskania dostępu do danych użytkowników usług hostingowych. Przedstawiciele firmy powiadomili już Prokuraturę Rejonową w Szczecinie o popełnieniu przestępstw określonych w art. 191 i art. 267 kodeksu karnego, wnosząc jednocześnie o ściganie sprawców.

3 kwietnia Hack.pl opublikował na swoich stronach oświadczenie na temat całej sytuacji, ale skupił się na kwestiach technicznych. Przedstawiciele serwisu uważają, że błędem home.pl jest to, iż wszystkie logi, wraz ze statystykami serwisu utrzymywano w katalogu: nazwa_konta.home.pl/statsXXX , gdzie XXX to 3 cyfrowa liczba generowana losowo. W momencie dostania się do katalogu, użytkownik nie był w żaden sposób weryfikowany (poprzez np. wcześniejszą autoryzację zawartą w cookie).

Sam fakt testowania i przełamywania zabezpieczeń bez wiedzy i zgody zainteresowanego wydaje się być kontrowersyjną metodą działania. Z jednej strony wydaje się być usprawiedliwione, czy nawet korzystne, jeśli ma służyć jedynie zwróceniu uwagi lub nawet poprawieniu bezpieczeństwa danego serwisu, czy programu. W końcu lepiej, by takie błędy odkryli ludzie uczciwi, niż nieuczciwi, którzy je po cichu wykorzystają w celach niezgodnych z prawem.

Jednak kiedy testowanie takie odbywa się bez wiedzy i zgody strony zainteresowanej, a następnie proponuje się jej opłatę w zamian za dostarczenie informacji o luce i nieujawnianiu tego błędu na forum publicznym, ocena takiej sytuacji jest już bardziej złożona. Redaktorzy serwisu hack.pl zapewniają w swym oświadczeniu, że chcieli jedynie udzielić pomocy, a nie dokonywać szantażu. Trudno powiedzieć jak potraktuje to wszystko prokuratura i sąd.