Zgłoszona luka w Gazeta.pl nadal straszy
Błędy w serwisach internetowych, jeśli już zostaną wykryte, najczęściej są zgłaszane administracji serwisu, która - dbając o bezpieczeństwo użytkowników - powinna starać się usunąć je jak najszybciej. Czasem jednak administracja po prostu lekceważy sprawę i osobę zgłaszającą błąd. Przekonał się o tym ostatnio jeden z naszych czytelników, który alarmował o błędach w serwisie Gazeta.pl.
reklama
Andrzej Górz, korzystając ze swojego konta w portalu Gazeta.pl, postanowił przyjrzeć się swojemu profilowi. Sprawdzając jedną z opcji profilu natrafił na ślad, który skłonił go do sprawdzenia, czy serwis jest odpowiednio zabezpieczony przed atakami XSS. Już pierwsze testy wypadły na niekorzyść portalu.
To jeszcze żadna afera. Błąd nie był bardzo poważny i może się zawsze przytrafić. Andrzej Górz postanowił (jak każdy uczciwy znalazca błędu) skorzystać z formularza kontaktowego do zgłaszania błędów i problemów. W zamian otrzymał grzeczną autoodpowiedź. Dopiero po powtórzeniu zgłoszenia jeden z administratorów poczty odpisał. Problem miał być wkrótce rozwiązany.
Zgłoszenie błędu miało miejsce 18 lutego. Od tej pory serwis Gazeta.pl cały czas zawiera ten sam błąd. Mieliśmy okazję się o tym przekonać, bo otrzymując informacje od Pana Górza poprosiliśmy o zaprezentowanie nam techniki ataku. Trzeba tutaj dodać, ze wykryty błąd nie pozwala na kradzież danych.
Pozwala on natomiast na wstrzyknięcie kodu JavaScript czy HTML na stronę webmaila. Odpowiednio twórczy cyberprzestępca mógłby go wykorzystać np. w atakach phishingowych.
- Nie możemy mieć pretensji do Gazety, że projektując swój serwis popełniono mniejsze lub większe błędy programistyczne, projektowe, czy mające na celu zabezpieczenie serwisu. - mówi Górz - Wysoce nieodpowiedzialny był natomiast brak reakcji na zgłoszenie przeze mnie owego błędu. Przez ponad dwa tygodnie spokojnie można było go rozwiązać. Co więcej, administracja Gazety z podobnymi zgłoszeniami miała już styczność, o czym można się przekonać czytając blogi poświęcone bezpieczeństwu.
Również nasz redakcyjny kolega, Michał Majchrowicz, przeprowadził własne testy bezpieczeństwa portalu i znalazł podobne błędy dotyczące trzech podserwisów Gazeta.pl. W chwili pisania tego tekstu były one aktywne. Przedstawiciele Gazeta.pl jak na razie nie skomentowali sprawy. Obiecali to zrobić w najbliższym czasie i cały czas (od tygodnia) czekamy na ich stanowisko w tej sprawie.
Wygląda na to, że odkrywcy luk w serwisach internetowych są traktowani podobnie jak odkrywcy dziur w oprogramowaniu. Będąc uczciwymi i zachowując należytą dyskrecję, są po prostu ignorowani.