First State Super to australijski fundusz emerytalny. W jego systemie konsultant ds bezpieczeństwa Patrick Webster znalazł lukę, dzięki której można było wyciągnąć prywatne i wrażliwe dane 770 tysięcy członków funduszu. Poważna wpadka? Tak, ale to nie wszystko. "W podzięce" za wskazanie dziury w zabezpieczeniach, Webster otrzymał oficjalne pismo od funduszu emerytalnego zapowiadające rozpoczęcie postępowania prawnego.
Poszło o to, że Webster wskazał funduszowi First State Super, w jaki sposób można włamać się na konta wszystkich 770 tysięcy użytkowników serwisu. Okazało się, że zwykła podmiana numeru ID w adresie strony przekierowuje do profilu innego użytkownika, na którym można znaleźć wszystkie jego dane, takie jak imię i nazwisko, adres, numer ubezpieczenia czy wysokość wnoszonej składki. Patrick Webster, jako specjalista ds zabezpieczeń, napisał demonstracyjny skrypt, który zbierał wszystkie numery ID i pobierał wszystkie możliwe dane. Następnie skontaktował się z funduszem First State Super i przedstawił dowód na to, jak łatwo można złamać zabezpieczenia ich systemu. Podziękowano mu za troskę i na tym sprawa by się skończyła, gdyby nie to, że niedługo potem ktoś faktycznie włamał się na stronę funduszu i umieścił na niej prosty komunikat: "Zhackowane przez Swana. Stop wojnie USA&Izrael".
Zrzut ekranu zhackowanej strony First State Super Zrzut ekranu zhackowanej strony First State Super
Niecały miesiąc później, jak podaje Sydney Morning Herald , do drzwi Webstera zapukała policja. Szczegółowo omówili sprawę pobrania na komputer danych członków First State i nakazali mu "trzymać się z daleka od strony funduszu". Następnego dnia otrzymał pismo od kancelarii prawniczej First State Super.
Powinien Pan mieć świadomość, że z powodu poważnej natury Pana działalności, sprawa została zgłoszona na policję
przeczytał Webster. Michael Dwyer, prezes funduszu, stwierdził, że wydarzenie nie byłoby tak poważne, gdyby Webster udowodnił istnienie luki na przykładzie swoim lub swojego znajomego, a nie tysięcy klientów. Prezes ma wkrótce spotkać się z "włamywaczem" Websterem i osobiście wyjaśnić wszystkie wątpliwości.
Czy taka luka w zabezpieczeniach to poważna sprawa, czy może rzadkość? O komentarz poprosiliśmy Janusza Urbanowicza, specjalisty ds bezpieczeństwa.
Okazuje się, że możliwość dostania się na konto użytkownika przez zwykłą podmianę cyfr w adresie URL to dość typowy błąd dla oprogramowania aplikacji internetowych starszych generacji. W ten sposób wykradziono na przykład pieniądze z amerykańskiego Citibanku .
Nowsze pakiety ramowe oprogramowania do budowania aplikacji internetowych udostępniają możliwość łatwego zabezpieczania się przed takim błędem, ale programiści mogą zapomnieć o ich użyciu. Takie luki powinny wyłapać testy penetracyjne - zamówione testowe włamanie niezależnych specjalistów, widocznie First State zaniechało takiego sprawdzenia swoich systemów - tłumaczy Urbanowicz.
Dodaje jednak, że w całej sprawie zwraca uwagę nieroztropne zachowanie odkrywcy luki.
Luka jest luką niezależnie od tego czy dotyczy jednego czy wszystkich kont, a "wyssanie" najpierw danych wszystkich klientów a następnie zwrócenie się do spenetrowanej instytucji może wzbudzać wątpliwości co do czystości zamiarów odkrywcy błędu.
Janusz A. Urbanowicz jest konsultantem od technologii internetowych i bezpieczeństwa, na łamach Technologii w cyklu " Wypalony Bezpiecznik " zamieszcza komentarze o stanie bezpieczeństwa informacyjnego, prowadzi też bloga pod tytułem Fnord.pl .
