FTV.com – hasła na wybiegu

5 Maj, 2010 Dodaj komentarz

Od czasu do czasu sprawdzam sobie w necie różne zapytania w stylu google hacking. Tym razem zaskoczyło mnie jak stosując tą prostą metodę można znaleźć dużą ponad (300tyś. recordów, 32mb) bazę danych. Co dziwniejsze baza pochodzi z naprawdę sporego serwisu. Na początek trochę wstępu i informacji o samym portalu.

Rzeczony serwis to ftv.com. Jest to oficjalna strona kanału telewizyjnego FTV jednego z największych, o ile nie największego prezentującego sprawy związane z modą,  urodą i stylem. Za wikipedią.

Jest to największy i jedyny działający 24/7 kanał telewizyjny o modzie. Dociera do ponad 500 milionów gospodarstw domowych w 193 krajach na pięciu kontynentach.

Od roku 2005 mają własny serwis ftv.com

Opis błędu

Wpisując proste zapytanie w wyszukiwarce google natrafimy natrafialiśmy na plik zawierający ponad 300 tysięcy emaili i haseł (Zapytanie podaje gdyż już usunęli ten błąd). Skąd w ogóle ten błąd? Wynikał on z niepoprawnych wpisów w pliku .htaccess i/lub błędnie napisana webaplikacja. Dzięki temu mieliśmy nieautoryzowany dostęp do pliku flash_login.txt w katalogu cache. Plik ten używany jest przez ich flashowy interface do logowania się w serwisie. Zwykły użytkownik nie powinien mieć wglądu do katalogu cache a powinny wystarczyć jeden-dwa wpisy w pliku .htaccess aby to naprawić. Drugim znacznie większym błędem było przechowywanie haseł w czystym tekście. Wystarczyło wrzucić funkcje hashującą i już byłoby pewne utrudnienie w dostępie do haseł. Nie zdziwiłbym się gdyby firma projektująca stronę skorzystała z gotowych ogólnodostępnych elementów.

Wyniki

Nie byłbym sobą gdym nie przetestował danych. W pliku znajduje się 303 792 maile z czego około 10-15% jest powtarzających się, błędnych lub z pustym hasłem. Pozostaje nam ponad 258 000 poprawnych kont na, które możemy się zalogować na stronę ftv.com. Spora część haseł pozwalała na zalogowanie się także do właściwych kont pocztowych, a także do portali społecznościowych typu facebook, czy też serwisów aukcyjnych itp.

Oczywiście napisałem do administracji korzystając z ich formularza kontaktowego. W wiadomości szczegółowo opisałem na czym polega błąd i zasugerowałem w jaki sposób mogliby go poprawić. Dopiero po tygodniu i drugim mailu zareagowali i usunęli plik/dostęp do pliku. Ze strony administratorów serwisu nie otrzymałem żadnych informacji, podziękowań za zgłoszony błąd  czy ochrzanu za nielegalny dostęp do danych. Nic zero null. Zdenerwowany takim podejściem postanowiłem przyjrzeć się temu serwisowi trochę dokładniej i znalazłem  jeszcze jedną lukę.  Luka jest na tyle poważna, identyczna pozwoliła na umieszczenie na stronach NYTimesa malware. Ale o niej może za jakiś czas.

Poniżej skreen prezentujący fragment pliku flash_login.txt

Dane z serwisu ftv.com

UPDATE

Przyczyna błędu

Po dokładniejszym przyjrzeniu się stronie mogę podać właściwą przyczynę błędu.  FTV do logowania dla swoich klubowiczów przygotowało panel flashowy. Oczywiście z racji przeznaczenia powinien mieć do niego dostęp każdy użytkownik. Osoba pisząca zaplanowała, że tworzony będzie plik cache mający na celu  przyśpieszenie logowania użytkowników (dlatego znajdują się w nim duplikaty/misspele). Plik odziedziczył również prawa dostępu dzięki czemu każdy miał tam dostęp. W ten sposób plik został skatalogowany przez robota google i umieszczony w wyszukiwarce. Podejrzewam, że gdybym poczekać zebrałyby się koljen adresy i hasła.

Reklama

Filed under IT Tagged with , , ,

Informacje Radom
Informatyka jest tak samo nauką o komputerach jak astronomia jest nauką o teleskopach.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Gravatar
Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Anuluj

Połączenie z %s

%d blogerów lubi to: