Albicla wystartowała, ale lądowanie może być twarde

21 stycznia 202121 stycznia 2021 Rafał Skrzypek Albicla, cyberatak, luki bezpieczeństwa, luki i łaty, niezalezna.pl, Parler, Reddit, serwis społecznościowy, serwisy społecznościowe, Tomasz Sakiewicz, Twitter

Wczorajszy start serwisu społecznościowego Albicla okazał się, według założyciela, niesamowitym sukcesem. Na tyle dużym, że przez pewien czas nie dochodziły mailem linki aktywacyjne. Czy był to rzeczywiście problem związany z dużym zainteresowaniem, czy też błąd w samym serwisie, nie jesteśmy jednak w stanie powiedzieć.

Parę godzin po starcie zaczęły wychodzić na jaw różne „choroby” wieku dziecięcego, które na pewno wynikają z błędów programistów. Serwis Zaufana Trzecia Strona informował na Twitterze o poważnych kłopotach z zabezpieczeniami, które każdy mógł wykorzystać.

Macie kontakt do kogoś z @AIbicla? Przekażcie im, że mają w skrzynce "kontakt" linka umożliwiającego pobranie z ich strony IP, loginu i hasła bazy danych serwisu stojącej na publicznym adresie IP. Pisaliśmy już jakiś czas temu ale nie odpisują, a sprawa jest jakby pilna…
— ZaufanaTrzeciaStrona (@Zaufana3Strona) January 20, 2021

Dało się ściągnąć praktycznie każdy plik z witryny, w tym pełny jej kod i plik konfiguracyjny, a w nim login i hasło do bazy danych Albicla. Wejście w posiadanie pliku SQL było więc już tylko formalnością. Czy ktoś to zrobił? Nie wiemy, ale istnieje duże prawdopodobieństwo, że tak. Zwłaszcza że w kilku pierwszych godzinach konta w serwisie założyło sporo osób z tzw. świecznika, w tym wicepremier Gliński. Jeśli więc ktoś się wczoraj zarejestrował, to radzimy sprawdzić, jakiego hasła użył i zmienić je w Albicla oraz w innych miejscach, w których było stosowane. Błąd na szczęście usunięto dziś w nocy.

Siła hasła Albicla

Skoro jesteśmy w temacie zabezpieczeń, to warto wspomnieć o jeszcze jednej rzeczy. Aktualnie serwis nie sprawdza siły zabezpieczeń, więc możliwe jest założenie konta z hasłem składającym się z jednego znaku! Obecnie nie ma też możliwości jego przypomnienia, więc jeśli ktoś je zapomniał, to pozostaje mu założenie nowego konta.

A na serwisie nie ma opcji "zapomniałem hasła". Nie masz pamiętasz hasła – sorry! Zapomnij o swoim koncie. Możesz próbować założyć kolejne i trzymać kciuki, że mail aktywacyjny jednak przyjdzie.
— Paweł Pilarczyk 💻🛵 (@pila3d) January 21, 2021

Serwis ma też kilka problemów z regulaminem i ochroną prywatności. Jak słusznie zauważył wczoraj na Twitterze Sławomir Wikariak, zakładając konto na Albicla godzicie się na udostępnianie Waszych danych dowolnej firmie współpracującej ze spółką Słowo Niezależne sp. z o.o. Jest to oczywisty błąd, bo na takie zapisy nie zezwala RODO. Regulamin jest też łudząco podobny do tego, który stosuje Facebook… na tyle, że nawet link objaśniający znaczenie znaków towarowych kieruje do niego. Ktoś się chyba zbyt mocno inspirował zapisami pochodzącymi z dokumentów konkurencji.

Problem z przestrzeganiem przepisów da się też dostrzec zaraz po wejściu na stronę. Od 22 marca 2013 roku właściciel strony internetowej, która używa plików cookies, ma obowiązek informować o tym użytkowników. Prawo telekomunikacyjne jest jednoznaczne w tym zakresie, ale serwis Albicla, mimo że stosuje „ciasteczka”, nie informuje o tym. Jeśli zareaguje na to UKE może się to skończyć karą dla właściciela serwisu, która może wynosić nawet 3% przychodów za ubiegły rok.

Usuwanie konta

Na Reddit pojawił się też wątek wytykający inne poważne błędy. Według informacji tam zamieszczonych, da się zastosować zamiast hasła całego Pana Tadeusza (ponoć ktoś już to zrobił). Można też bez problemów pisać na czyimś profilu, wystarczy prosta edycja źródła strony. Z najciekawszych wymienionych tam błędów jest możliwość założenia konta o nazwie „delete_account”. Kliknięcie powoduje skasowanie naszego profilu. Jest to aktualnie jedyna możliwość, aby to zrobić.

Jak Tomasz Sakiewicz, prezes spółki Słowo Niezależne, tłumaczy ten sukces i problemy? Mówi tak: „W pierwszych godzinach funkcjonowania Albicli dziesiątki tysięcy ludzi stało się jego użytkownikami. To największy sukces tego typu portali w Polsce. Tak jak wspominałem nie wszystkie funkcjonalności są od razu gotowe, bo chcieliśmy uruchomić portal w ostatniej godzinie rządów lidera wolnego świata. Od nas teraz zależy czy ten świat będzie dalej wolny, szczególnie w internecie. Tak jak się spodziewaliśmy przeżywamy niebywały atak hakerów i trolli internetowych. Próbują nam przeszkadzać, jak się da, ale to świadczy też o naszej sile”.

Dużo osób pyta nas co sądzimy o serwisie Albicla. Oto nasza odpowiedź:

Trzymajcie się od niego z daleka. Nie zostawiajcie tam żadnych swoich danych.

Pełno tam podstawowych błędów bezpieczeństwa. Ciężko nam uwierzyć, że ktoś takie coś uruchomił na serio, produkcyjnie. pic.twitter.com/WgX8r4g9le
— Niebezpiecznik (@niebezpiecznik) January 21, 2021

Wniosek z tego, że problemy serwisu mogą wynikać z ataków hakerów, a niedoróbki należy zrzucić na karb pośpiechu przy tworzeniu jego kodu. Nie jesteśmy w stanie ocenić, jak jest naprawdę i czy wczoraj rzeczywiście zarejestrowały się w Albicli „dziesiątki tysięcy ludzi”. Zastanawia nas tylko, jak długo serwis będzie istniał i czy nie stanie się podobną bańką, jaką był/jest Parler. Albicla ma ambicje podobne do niedawno usuniętego z AWS serwisu społecznościowego i ma dbać o wolność słowa. Jak będzie, zobaczymy zapewne już niedługo.

Źródło: Twitter, niezalezna.pl

PS. Czekamy, aż ktoś założy konto o nazwie „;;drop_table” lub „;;drop_database”.

Rafał Skrzypek

Miłośnik nowoczesnych technologii, głównie nowych rozwiązań IT. Redaktor w czasopismach Gambler, Enter, PC Kurier, Telecom Forum, Secret Service, Click!, Komputer Świat Gry, Play, GameRanking. Wiele lat spędził w branży tłumaczeniowej – głównie gier i programów użytkowych. W wolnych chwilach lata szybowcem, jeździ na rowerze i pochłania duże ilości książek.