Dziury w poczcie Gazeta.pl (brak) :: Piotr Konieczny, blog

Poniedziałek, 12 stycznia 2009 :: 21:37:16

Dziury w poczcie Gazeta.pl (brak)

Dzisiejszy dzień przynosi "aferę z zabezpieczeniami" systemu pocztowego Gazety.pl. Okazało się, że wysyłając e-maila na adres ankieta@gazeta.pl, jego treść zostanie rozesłana do wszystkich użytkowników Gazety...

Sekundę po upublicznieniu tejże informacji (żeby było śmieszniej, poprzez wykorzystanie wspomnianego tricku) błąd zaczęli wykorzystać użytkownicy Gazety - najpierw wysyłając do siebie śmieszne wiadomości, potem już tylko liche reklamy:

fot. http://hell.pl/agnus/gazeta.jpg

Spośród kilkunastu osób, które podesłały mi informację o tej "aferze" (dzięki!) - większość sugerowała, że jest to "straszna dziura w systemach pocztowych Gazety"...

Spokojnie, to nie dziura, to tylko błąd!

Otóż, ja wcale nie uważam tego błędu w konfiguracji za paskudną dziurę, podatność na śmiertelny atak, massive-fail czy też powód do wykastrowania administratora Gazety.pl. Źle zabezpieczony adres ankieta@gazeta.pl uprzykrzył co prawda życie użytkownikom portalu - ale przecież bajecznie prosto można było odfiltrować niechciane wiadomości (wszystkie wysłane z ankieta@gazeta.pl). Gazeta zaliczyła dziś bolesną wpadkę - i tyle.

Bijta Helion, nie Gazetę!

Za znacznie poważniejszy błąd uznaję natomiast niedawną wpadkę Helionu, gdzie sierotka odpowiedzialna za wysłanie reklamowego mailingu, ujawniła e-maile wszystkich subskrybentów newslettera. Auć!

Podsumowując, Gazeta naraziła dziś swoich użytkowników na krótkotrwały, łatwy do wyfiltrowania spam (i za to trzy klapsy na goły tyłek). Helion natomiast, zafundował swoim czytelnikom niemożliwy do wyfiltrowania i co gorsza niebezpieczny (malware!)oraz długotrwały spam (tu klapsów osiem).

Stąd, mając na uwadze, że są błędy błędsze i mniej błędsze, wzorem prof. Miodka, uspokajam: Szanowni Państwo, powiemy — "Gazeta.pl pstryknęła dziś swoich czytelników w nos", ale już "Helion założył swoim czytelnikom stryczek na szyję!"

Czym jest dziura?

Ponieważ problem "co już jest luką bezpieczeństwa, a co jeszcze nie" to niezwykle interesujące zagadnienie, ciekaw jestem Waszych opinii — można się ze mną nie zgadzać w komentarzach, serdecznie zapraszam :-)

O sprawie pisze też Adaś Dziura i Paweł Wimmer.

P.S. Hmm.. ludzie chyba chcą być na bieżąco z linkami ze świata IT security - mojego Blipa śledzi już 174 użytkowników...

• Następny post: Pan z Poznania? Niech pan wstąpi...
• Poprzedni post: Hakin9 12/2008 - recenzja

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

Tagi: ⌘ ⌘ ankieta ⌘ gazeta ⌘ mail ⌘ poczta ⌘ spam

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

Zal Poniedziałek, 12 stycznia 2009, 21:38:59

Ktoś grupę źle ustawił w Google Apps for Your Domain ;D Ale całość całkiem spektakularna...

2. daromar Poniedziałek, 12 stycznia 2009, 22:01:18

spektakularne to było, niebezpieczne to najwyżej dla osób które maila na ten adres wysłały

3. grocal Poniedziałek, 12 stycznia 2009, 22:08:07

"It's not a bug, it's a feature!" :)

4. matipl Wtorek, 13 stycznia 2009, 11:09:33

Oczywiście, że masz rację..Ale polskie realia, media robią swoje...
Ludzie dostali trochę więcej reklam niż zwykle, i tylko tyle.

5. carstein Wtorek, 13 stycznia 2009, 12:22:32

Faktycznie, problem co jest luką bezpieczeństwa, a co nie stanowi często zarzewie flame war nie gorszych niż tych o iphone. Obserwujemy często dwie przeciwstawne tendencje - osoby z managementu mówią, że to nie bug, bo nic się nie dało ukraść, natomiast hackers-wannabe twierdzą, że każdorazowo, kiedy system zachowa się inaczej, niż zgodnie z zamysłem twórcy/administratora to już jest critical 0day mass0wnage. Nie jestem pewien, czy da się tutaj wyznaczyć sztywną granicę - w pewnych okolicznościach nawet niewielkie odchyłki od normy poprzez wzgląd na ilość zaangażowanych osób mogą zostać uznane za zagrożenie bezpieczeństwa, innym razem nawet stosunkowo poważne luki w miejscu nikomu nie znanym.
W kontekście wspomnianego błędu konfiguracyjnego na portalu gazeta.pl można bardzo ostrożnie mówić o błędzie bezpieczeństwa (choćby ze względu na możliwe ataki DoS - dobry współczynniki ataku, 1 do $liczbaKont), natomiast nawet xss na stronie StronaDomowaRomka.prv.pl w polu UserAgent osoby odwiedzającej trudno nazwać luką bezpieczeństwa - bo co można tym osiągnąć.

6. JZ Wtorek, 13 stycznia 2009, 13:35:55

Jeżeli jednak ktoś ustawił żądanie potwierdzenia otwarcia wiadomości, to w odpowiedzi dostał listę maili większą niż nakład Helionu. Zgadza się?

7. daromar Wtorek, 13 stycznia 2009, 13:41:05

JZ: wtedy dostanie potwierdzenia od osób które mają skonfigurowaną pocztę z gazety w programie pocztowym, poczta gmail/gazeta z tego co widzę potwierdzeń nie wysyła

8. Radom Wtorek, 13 stycznia 2009, 18:19:14

A ja sie zastanawiam czy można to potraktować jako niezamówioną informacje handlową:

Z ustawy o świadczeniu usług drogą elektroniczną:

Art. 10. 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.

Art. 24. 1. Kto przesyła za pomocą środków komunikacji elektronicznej niezamówione informacje handlowe, podlega karze grzywny.
2. Ściganie wykroczenia, o którym mowa w ust. 1, następuje na wniosek pokrzywdzonego.

Czy przypadkiem tych osób, które wysłały spam a nie głupie maile nie można pod to podciągnąc?

Piotr Konieczny Wtorek, 13 stycznia 2009, 19:00:33

Obawiam się, że w tym przypadku, odbiorca był "nieoznaczony"... - ale prawnikiem nie jestem, więc pytanie należy zadać komuś innemu :)

10.

l00natyk Wtorek, 13 stycznia 2009, 19:32:27

Ja byłem bardziej wredny i ustawiłem auto forward na postmaster@gazeta.pl a nastepnie usuwanie.

11. Max Koluszky Środa, 14 stycznia 2009, 10:53:58

Ja tam się nawet ucieszyłem. Wreszcie ktoś do mnie coś napisał.

12. ChanibaL Czwartek, 15 stycznia 2009, 00:32:47

Poczta ponownie odbezpieczona, właśnie dostałem kilka ciekawych maili, najciekawszy jest chyba ten z nutką nadziei:

--- cut ---
From: chanibal+caf_=redirect-gazeta.pl=chanibal.net@gazeta.pl
To: undisclosed-recipients:;
Date: Wed, 14 Jan 2009 14:52:16 -0800 (PST)

To jest proba poczty
Oby nie przeszla
--- cut ---

Z tego co widzę już ktoś się nudzi i sprawdza tą lukę.

Tak czy inaczej jeden raz może się zdarzyć każdemu, drugi raz to już głupota - zwłaszcza jeśli sprawa jeszcze nie przycichła.

13.

Piotr Konieczny Czwartek, 15 stycznia 2009, 09:03:03

Wygląda na to, że gazeta dalej ma problemy z pocztą - tym razem na innych aliasach: http://breffa.jogger.pl/2009/01/15/kolejny-gazeta-pl-hack/

14. Marek CK Niedziela, 18 stycznia 2009, 11:18:39

Spam jest dobry ;] Jakbyscie sie poczuli gdyby pewnego poranka nikt nie chcial Wam przedluzac penisa albo opchnac replike zegarka? :> Luka bezpieczenstwa jest raczej niedefiniowalna albo raczej jest pojeciem "ruchomym" zaleznie od ustanowionych granic. Moim zdaniem of course ;] A Blip dobry jest chociaz znienawidzony zielony bylby lepszy ;] pzdr

15. Eb Poniedziałek, 05 kwietnia 2010, 19:16:15

hehe nie pomyślałbym że na gazeta.pl takie numery mogą odchodzić. Przykre jest jednak to że tak trudno jest im przyznać się do błędu.

16. Zeto Niedziela, 16 maja 2010, 22:51:38

da sie

Dodaj komentarz:

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy