Do Dziennika Internautów zgłosił się Czytelnik, który już na początku zaznaczał, że serwisy Grupy Onet.pl są słabo zabezpieczone, a w efekcie podatne na działania SQL Injection, które polega na wydobywaniu informacji z bazy danych za pomocą odpowiednich zapytań do niej.

Zgłaszający, 19-letni Oskar Zwierzchowski, stwierdził, że dzięki kilku zapytaniom można pobrać wiele danych z bazy kilkudziesięciu serwisów należących do Onet.pl. Co więcej, dalsze działania mogłyby doprowadzić do przejęcia kontroli nad maszyną poprzez wrzucenie odpowiedniego pliku na serwer i wykonanie go.

– Zgadzam się z tezą, że w ogólności (nie mówię tu konkretnie o Onecie), w wyniku ataków SQL Injection w ręce włamywacza mogą wejść fragmenty lub całość bazy danych atakowanych serwerów. W niektórych przypadkach przy pomocy SQL Injection istnieje także możliwość umieszczenia i wykonania na atakowanym serwerze kodu przygotowanego przez atakującego, co może – ale nie musi – prowadzić do przejęcia kontroli nad maszyną – tłumaczy Piotr Konieczny z Niebezpiecznik.pl.

>> Czytaj też: Nowa, skromna porcja łatek od Microsoftu

Po kilku godzinach od interwencji Dziennika Internautów, błąd został naprawiony. Istnienie tej luki, pozwalającej przy pomocy SQL Injection, na manipulację zapytaniami do niektórych baz danych potwierdził nasz audyt. Została ona niezwłocznie usunięta przez programistów. Zgłoszona podatność pozwalała m.in. wyświetlić ograniczone dane z bazy obsługującej serwisy (m.in. sexi.onet.pl) – tłumaczy Paweł Klimiuk, rzecznik prasowy Grupy Onet.pl

Według przedstawiciela Onetu większość z serwisów nie posiada funkcji logowania, gdzie użytkownicy mogliby przechowywać ważne dane, np. hasła. Serwisy te są statyczne i nie muszą być połączone w jedną całość. Ostatecznie potwierdzono, że ataku można było dokonać na jednym serwisie, trwają jednak prace nad sprawdzeniem kolejnych, które były na liście Zwierzchowskiego.

– Do kwestii bezpieczeństwa przykładamy, jak każdy przedsiębiorca internetowy, dużą uwagę, przeprowadzając regularne zewnętrzne i wewnętrzne audyty. Oznacza to również reagowanie na zgłoszenia użytkowników, dlatego proszę o podanie konkretnych przykładów.
Choć to truizm, to każde z istniejących zabezpieczeń w sieci poddawane jest rozmaitym próbom przełamania, najważniejsze, że w efekcie takich zgłoszeń, poprawia się bezpieczeństwo użytkowników – dodaje Paweł Klimiuk.

>> Czytaj też: Programy Adobe znów pod ostrzałem

Ataki SQL Injection do pewnego momentu są bezkarne, jednak po przekroczeniu progu, gdy atakujący ingeruje w pliki na serwerze bądź przesyła swoje, może odpowiadać przed sądem.