200.000 za dziurę – szantaż, który nie popłacił?

Twórcy hack.pl zażądali od home.pl 200 tysięcy złotych w zamian za przekazanie informacji o wykrytych błędach – sprawa trafiła do prokuratury, zajmie się nią też ABW.

Według zapewnień serwisu hack.pl, wykryta luka w zabezpieczeniach dotyczyła wszystkich kont wirtualnych na home.pl.

„Luka umożliwiała przeglądanie pełnych logów serwera każdego konta wirtualnego na home.pl. Log taki zawiera w sobie informacje o każdym wywołaniu dowolnego adresu serwera (strony, pliku) otoczonym takimi informacjami jak host i ip odwiedzającego, dokładny czas, referera (poprzednio otwarta strona), jak i status połączenia, dzięki któremu możemy wyłapać wszystkie strony wywołujące błąd serwera” – opisuje błąd Michał Semeniuk z serwisu hack.pl.

Administratorzy home.pl ujawnili treść listu, którzy otrzymali drugiego kwietnia:

Szanowni Państwo.

Znaleźliśmy poważną lukę Państwa serwerów. Ma ona charakter krytyczny. Jesteśmy przekonani, że może być wykorzystana na wiele sposobów przez ew. napastników.


Chcieliśmy z góry zauważyć, że piszemy do Państwa w celu informacyjnym i naszym zamiarem nie jest wykorzystanie tego błędu w sposób niezgodny z prawem.


Wstępnie myśleliśmy tylko o napisaniu o błędzie na łamach HACK.pl, a także o udostępnieniu zacieniowanych dowodów, które jednak nie pozwoliłyby na wykorzystanie błędu.


Chcemy postąpić maksymalnie przyjaźnie wobec home.pl, z naszego punktu widzenia, dobrze byłoby gdyby na łamach HACK.pl pojawił się news dotyczący luki w home.pl, ale też rozumiemy Państwa sytuację.


Koszt informacji szacujemy wstępnie na 200,000 złotych, cena – oczywiście – podlega negocjacji. Być może bylibyśmy zainteresowani współpracą z Wami na zasadach partnerskich, czy też reklamą w home.pl.


Jesteśmy otwarci na propozycje, oferujemy audyt bezpieczeństwa. Mamy nadzieję, że wspólnie uda nam się wyeliminować ten i podobne niedociągnięcia.


Z poważaniem.

Michał Bućko, współpraca Michał Semeniuk

W odpowiedzi na upublicznienie e-maila serwis hack.pl opublikowała informacje na temat luki i sposobu jej wykorzystania, oznajmiając jednocześnie:

Zaznaczam, że ujawnił Pan treść prywatnej wiadomości – została ona wysłana tylko i wyłącznie do home.pl, nie została wysłana do pozostałych serwisów. Informacja, którą otrzymał portal home.pl, została wysłana w celu poinformowania Państwa o zaistniałej sytuacji, nie jest ona próbą wyłudzenia pieniędzy.


„Niezwłocznie po otrzymaniu informacji firma home.pl przeprowadziła szczegółowy audyt zabezpieczeń systemu hostingowego. W wyniku audytu wykryto, że wskazana „krytyczna” luka dotyczy dostępu do statystyk oglądalności i logów serwerów wirtualnych, które domyślnie są zabezpieczone przed dostepem z zewnątrz. Autorzy informacji przełamali zabezpieczenie i uzyskali nieuprawniony dostęp do statystyk oglądalności 6 serwisów internetowych, stosując metodę brute-force, czyli losowego generowania ciągów nazw katalogów ze statystykami. Pozwoliło to na prześledzenie struktury serwisu, czy też skryptów odpowiadających za administrowanie treścią serwisu” – poinformował home.pl w komunikacie.

Serwis hack.pl był bardziej wylewny przy okazji opisywania luki. Oprócz szczegółów technicznych podano sposób uzyskania dostępu wraz z dowodem skuteczności – wynikami „wizyty” na koncie Ministerstwa Edukacji Narodowej.

Oprócz dostępu do plików i logów serwisu włamywacz pozyskał dostęp do panelu administracyjnego i możliwość edytowania i tworzenia treści ukazujących się w serwisie MEN. Poniżej screen:





Mimo przytoczonych dowodów, home.pl bagatelizuje problem luki, jednocześnie jednak informując o zgłoszeniu popełnienia przestępstwa:

Przeprowadzony audyt systemu hostingowego home.pl nie wykazał istnienia jakichkolwiek krytycznych luk. Firma poinformowała właścicieli 6 serwisów internetowych o próbie uzyskania nieautoryzowanego dostępu do ich treści.

home.pl podjęła działania mające na celu pociągnięcie do odpowiedzialności prawnej osób, które dążyły do uzyskania dostępu do danych użytkowników usług hostingowych. W dniu 6 kwietnia 2007 r. firma zawiadomiła Prokuraturę Rejonową w Szczecinie o popełnieniu przestępstw określonych w art. 191§1 i art. 267 kodeksu karnego, wnosząc jednocześnie o ściganie sprawców.

Sprawą zajmie się także Agencja Bezpieczeństwa Wewnętrznego ze względu na włamania na serwis należący do instytucji państwowej.

Dodaj komentarz