Gazeta.pl - ciąg dalszy luk w zabezpieczeniach

Dodał(a): Krzysztof Borowiak
2009-01-15 21:50
Odsłon: 1099
Komentarzy: 1

Tagi:

Powieść grozy o tym, jak łatając jedną dziurę odkryć drugą... 14 stycznia 2008 roku, godzina 21.37. Kolejny, chłodny, zimowy wieczór. Tysiące użytkowników poczty Gazeta.pl wygrzewa się w swoich domach, szykując się do snu. Nagle na ich monitorach pojawia się krótki komunikat. "Nadeszła nowa wiadomość".

W poczuciu bezpieczeństwa, każdy z nich otwiera swoją "skrzynkę" by przejrzeć jej zawartość. "follow white rabbit", mówi temat wiadomości. Autor: administrator@gazeta.pl. Adresat: uzytkownicy.poczty@gazeta.pl. Treść: "halo czy to dziala?". Na skroni niemal każdego użytkownika poczty pojawia się mała, pulsująca żyłka... Znowu...

Dwukrotna wpadka?

Gazeta.pl w ostatnim czasie " nawaliła". Jak się okazuje - nie jeden, a dwa razy. Przesyłając wiadomość z przeprosinami za pierwszy błąd, nie ukryli adresu grupy mailingowej obejmującej wszystkich użytkowników. Jakie były efekty? Otóż takie, że użytkownicy postanowili "sprawdzić" czy istnieją jakieś zabezpieczenia dla tego adresu. I sprawdzili...

Zrzut ekranu z 3 dotychczas otrzymanymi wiadomościami wraz ze standardowymi nagłówkami. Z zawartości rozszerzonych nagłówków można się dowiedzieć chociażby, na jaki adres zostały wysłane owe wiadomości. / Fot. Krzysztof Borowiak

Zastanawia jednak fakt, że odnaleziona luka była wykorzystywana przez użytkowników, a powinna być zgłoszona administratorom serwisu Gazeta.pl. Pojawia się również pytanie - co było przyczyną wydarzeń?

Gazeta.pl - niewinność potwierdzona

Poczta elektroniczna Gazety.pl oparta jest na technologii Gmail, dostarczanej przez firmę Google. Jak
mówi Magdalena Rówińska z Agora S.A., za przebieg wypadków odpowiedzialne były błędy w systemie pocztowym. - Podjęliśmy kroki, by wspólnie z Google zlikwidować błąd i zapobiec następnym takim sytuacjom - komentuje Rówińska.

Opisywana przeze mnie sytuacja z wieczoru 14 stycznia, miała swoje podłoże w możliwości edycji nagłówków nadawcy danej wiadomości. Dzięki temu, można było podszyć się pod autoryzowany adres administratora, nawet nie znając hasła, i znów cieszyć się możliwością masowego rozsyłania wiadomości.

Gazeta.pl oficjalnie przeprosiła wszystkich użytkowników swojej poczty elektronicznej. Miejmy nadzieję, że już nigdy nie będą musieli tego robić.

Zobacz także:

OFFline profil autora

Autor: Krzysztof Borowiak

Artykuły (6) Galerie (0) Średnia ocen (4.50)

Wiek: 22 | Miejscowość: Skórzewo / Poznań | Kraj: Polska

O mnie: Student Informatyki na Wydziale Informatyki Politechniki Poznańskiej, Starosta Roku i Grupy Dziekańskiej, Sekretarz Koła Naukowego Akademia Nauk Sztucznej Inteligencji, Członek Koła Naukowego Ruch Projektantów Gier.

Ostatnie artykuły autora:

Pozycja autora w rankingach:

Największa liczba odsłon (2704)

Dodaj do

Komentarze: 1

Sortuj komentarze:

Daniel Siwak 15.01.2009 21:59

Ocena:

Też mi to przyszło... Ale gdyby miałby to być podobny kataklizm to już byśmy mieli ze 100 różnych maili. A tym czasem ja dostałem 2.

Albo admini Agory coś testowali, albo była kolejna luka, którą tym razem wychwycono bo adres jest już zablokowany :-)

Komentarz został ukrytyrozwiń