Dosyć ważnym, acz nadal często niedocenianym przez ogół społeczeństwa, aspektem życia codziennego każdego z nas jest bezpieczeństwo w internecie. Pół biedy jeżeli sami nieostrożnie dysponujemy swoimi danymi, ale gorzej, jeżeli powierzamy je komuś innemu. Pewnym niedopatrzeniem wykazały się TVP oraz agencja aktorska GUDEJKO, co poskutkowało możliwością nieautoryzowanego dostępu do informacji dotyczących aktorów, modelek i statystów.
Są na świecie pasjonaci, którzy przeszukują internet w poszukiwaniu różnych luk. Zdarza się, że taka osoba ma niezbyt dobre intencje i kiedy tylko uzyska dostęp do wrażliwych danych, wykorzystuje je w dosyć nieprzyjemny sposób dla pokrzywdzonych. Są jednak tacy, którzy parają się tym dla swego rodzaju sportu, a wszelkie niedopatrzenia zgłaszają odpowiednim osobom z nadzieją, że błędy zostaną zwyczajnie poprawione. Przedstawicielem tej drugiej grupy jest mike, czytelnik Niebezpiecznika, który postanowił przyjrzeć się agencji aktorskiej GUDEJKO, a także serwerom Telewizji Polskiej. To, co odnalazł, raczej nie napawa optymizmem. Co ciekawe, wykorzystanym przez mike’a narzędzem „hakerskim” było… wyszukiwanie zaawansowane w Google.
Agencja aktorska GUDEJKO
Wspominany już użytkownik postanowił pobawić się trochę wyszukiwarką Google, przeglądając przy tym informacje przechowywane przez ogromną agencję aktorską GUDEJKO. Pierwszym znaleziskiem był plik z SMS-ami zawierającymi zaproszenia na castingi. Jak można się domyślić, wraz z nimi przechowywane były numery telefonów aktorek lub osób, które chciałyby zajmować się tym w przyszłości.
Nietrudno się domyślić, że im dalej w las, tym więcej drzew. W tym samym katologu znalazły się dokumenty z pełnomocnictwami, które w niektórych przypadkach były udzielane dzieciom przez rodziców, zatem można było uzyskać nieautoryzowany dostęp do danych zarówno dorosłych, jak i młodszych.
Być może nie byłoby w tym nic strasznego, gdyby nie to, że wszystkie pełnomocnitwa (a trochę ich było) zawierały imiona i nazwiska, adresy zamieszkania i numery PESEL. A to już dane, których nie sposób nie określić jako „wrażliwe”.
Kolejnym odnalezionym przez mike’a katalogiem były fotografie i filmy stanowiące publiczne portfolio modeli i aktorów – być może w przypadku takich osób dane takie jak imię, nazwisko i wymiary nie są szczególnie tajne, ale to okazało się kluczem do kolejnych drzwi, za którymi znajdowała się baza danych zawierająca informacje o 9300 aktorów i modeli, a także 540 kandydatów. Mike poznał zarówno ich imiona, nazwiska i dane kontaktowe, jak i ogólne dane biometryczne.
Niektórzy udzielili agencji dosyć szczegółowych danych. Na przykład znana prawdopodobnie przez Was wszystkich aktorka, Anna Dereszowska, powierzyła im również swój numer dowodu osobistego. A zapewne nie była jedyną taką osobą.
Wspominany mike nie miał złych intencji i nie przeszukiwał miejsc, które mogły być równie wrażliwe. Postanowił zgłosić wszystkie powyższe informacje redakcji Niebezpiecznika, która skontaktowała się z agencją Gudejko. Podobno błędy (w tym brak szyfrowania formularza zgłoszeniowego!) zostały spowodowane przez migrację danych, a także niedziałający SSL. Mamy nadzieję, że zatrudniony przez firmę informatyk załatał już wszystkie dziury (oraz obserwuje system w poszukiwaniu nowych), a na zakończenie tego tematu warto przytoczyć to, co o samych informacjach mówi tajemniczy mike.
Ogromna baza danych – PESELE, nr dowodów osobistych, adresy email, adresy zamieszkania, telefony, wymiary, rozmiary, hobby, zainteresowania, szkoły, moduł do wysyłania smsów i inne – to zasługuje na lepszą ochronę.
Zapewne strona posiada o wiele więcej dziur (sqli, xss), ale szukanie ich nie było moim celem. Dodam jeszcze, że serwer jest współdzielony i znajdują się na nim inne witryny.
Casting TVP
Domyślacie się zapewne, że wspomniany we wstępie udział Telewizji Polskiej nie pojawił się tam przypadkowo. Mike odnalazł na serwerach TVP publicznie dostępny katalog, a w nim między innymi listę uczestników castingu do programu „Rok w ogrodzie”. Sami zobaczcie, jakie dane zostały umieszczone w niezabezpieczonym folderze.
Na szczęście TVP zareagowało dosyć szybko i zablokowało dostęp do wspomnianego katalogu. Podobno taka sytuacja nie powinna się powtórzyć i miejmy nadzieję, że to nie są puste zapewnienia.
Wnioski? Chyba takie jak zwykle
Czy ta sytuacja jest w jakiś sposób nowa? Właściwie to nie, chociażby w tym miesiącu informowaliśmy Was o wycieku danych klientów Aero2 czy o wpadce Facebooka, która zapoczątkowała #deletefacebook. Jeżeli opisywane wycieki mogły Was dotyczyć, to jedyne co pozostaje, to krótka rozwaga nad sytuacją, a w razie podania większej ilości informacji – zastrzeżenie dowodu osobistego. PESEL-u niestety zmienić się nie da ;)
źródło: Niebezpiecznik
grafika główna: Pexels
