Dane tysięcy znanych i mniej znanych aktorów oraz modelek i statystów można było pobrać z serwerów agencji i TVP

Wiele osób liczy na karierę w show biznesie, a to oznacza konieczność pozostawiania swoich danych w różnych miejscach. Te dane nie zawsze są właściwie zabezpieczane, o czym świadczy m.in. wpadka najstarszej i największej agencji aktorskiej GUDEJKO oraz błąd konfiguracji serwerów TVP.

Treści SMS-ów, numery telefonów, PESEL-e i inne dane
Zapewne wielu naszych Czytelników wie, że wyszukiwarka Google jest jednym z najprostszych “narzędzi do hackowania” (por. Google Hacking). Wystarczy użyć tzw. “Google Dorks” czyli operatorów wyszukiwania zaawansowanego. Możemy dzięki nim wyszukać na stronie pliki określonego typu (filetype) albo określony tekst w treści (intext).

Nasz Czytelnik – mike – użył operatora intitle:Index.of aby przeszukać stronę agencji GUDEJKO, która przechowuje dane tysięcy aktorów, kandydatów na aktorów, modelek itd. Jak zapewne się domyślacie, nasz Czytelnik trafił na katalogi z plikami. Pierwszym znaleziskiem był plik smsdata.txt, który zawierał wiadomości tekstowe z zaproszeniami na castingi. Można było poznać numery telefonów aktorów lub przyszłych aktorów.

Mike przyjrzał się także katalogowi, w którym znajdował się ten plik. Były w nim dokumenty z pełnomocnictwami, a w nich:

  • imiona i nazwiska,
  • adresy zamieszkania
  • numery PESEL.

Pełnomocnictw nierzadko udzielali rodzice dzieciom, zatem w pismach występowały dane i jednych i drugich.

Takich dokumentów było niemało. Do tego mike natknął się na katalog z filmami, na których modelki i modele przedstawiali się i podawali swoje wymiary. Oprócz filmów, dostępny był również katalog z fotografiami.

Filmy i fotografie stanowiły element publicznego portfolio modeli i aktorów. Jednak pod wpływem tych zdjęć i filmów mike zaczął się zastanawiać, czy agencja umożliwia modelom uploadowanie własnych plików. Okazało się, że tak. To z kolei doprowadziło go do znalezienia sposobu, by uzyskać dostęp do panelu administratora w bazie agencji Gudejko. Ta baza w momencie testu obejmowała 9,3 tys. aktorów i modeli oraz ponad 540 kandydatów na nich.

Telefon do gwiazdy? Czemu nie!

We wspomnianej bazie można było znaleźć w bazie np. dane osób będących statystami i innych, których nazwalibyśmy “aktorami nieprofesjonalnymi“. Agencja GUDEJKO od dawna działa na tym obszarze toteż na przestrzeni lat zebrała mnóstwo danych takich właśnie osób. Oprócz imion, nazwisk i wszelkich danych kontaktowych w bazie znajdują się ogólne dane biometryczne.

Anna Dereszowska powinna zastrzec sobie dowód

Wisienką na torcie są dane osób znanych i to takich, których na oficjalnych profilach celebrytów na IMDB albo Wikipedii raczej nie znajdziecie (choć możecie do nich dotrzeć poprzez inną bazę, która wyciekła kilka lat temu z firmy cateringowej Fit and Eat).

Naszym zdaniem Pani Anna Powinna zastrzec dowód i wyrobić nowy. To samo powinny zrobić również inne osoby, które zostawiły swoje dane w tej agencji.

To jak poradzić sobie z wyciekiem danych osobowych lub kradzieżą tożsamości i czym może to grozić opisaliśmy w artykule pt. Co jeśli oszust weźmie pożyczkę na moje dane? Spójrz na tę mapkę!)

Zdaniem mike’a baza nie była odpowiednia zabezpieczona jak na dane, jakie zawierała:

Ogromna baza danych – PESELE, nr dowodów osobistych, adresy email, adresy zamieszkania, telefony, wymiary, rozmiary, hobby, zainteresowania, szkoły, moduł do wysyłania smsów i inne – to zasługuje na lepszą ochronę.
Zapewne strona posiada o wiele więcej dziur (sqli, xss), ale szukanie ich nie było moim celem. Dodam jeszcze, że serwer jest współdzielony i znajdują się na nim inne witryny.

Szybko się przekonaliśmy, że mike miał rację. Zauważyliśmy też, że formularz zgłoszeniowy agencji nie korzysta z szyfrowania, a przecież służy do przesyłania danych osobowych. Zgłosiliśmy sprawę agencji Gudejko i szybko otrzymaliśmy odpowiedź od Bartka Gudejko. Dowiedzieliśmy się, że agencja zatrudnia informatyka będącego twórcą bazy i od niego wynajmuje przestrzeń serwerową. Błędy miały się pojawić po migracji danych, po której również przestał działać SSL. (Brzmi podobnie? Por. Dane setek pacjentów różnych szpitali były dostępne do pobrania z serwera firmy obsługującej polskie placówki służby zdrowia)

Na szczęście mike, który zgłosił nam problem, nie miał żadnych złych intencji i przekazał nam informacje o swoich odkryciach, abyśmy mogli powiadomić agencję. Można chyba mówić o “częściowym wycieku” bo np. dane z pełnomocnictw były dostępne publicznie, niechronione żadnym hasłem.

Ujawnione dane z castingu TVP

Podobny incydent spotkał także TVP. Nasz czytelnik na serwerze telewizji publicznej znalazł publicznie dostępny katalog, a w nim różnego rodzaju pliki. Jeden z plików zawierał listę uczestników castingu do programu “Rok w ogrodzie”. Wraz z ich danymi kontaktowymi.

Natychmiast skontaktowaliśmy się z TVP i dostęp do katalogu został zablokowany. Biuro prasowe nie przedstawiło nam żadnych wyjaśnień, natomiast nieoficjalnie dowiedzieliśmy się, że osoby odpowiedzialne za bezpieczeństwo w TVP nie zostały należycie poinformowane o fakcie i sposobie przechowywania tych danych. Wiemy, że wyciągnięto z tej sytuacji wnioski i nie powinna się ona powtórzyć.

Ten sam problem, co opisany w tym artykule, spotkał parę lat temu PKO BP, który ujawnił dane dłużników jak i PEKAO S.A., który udostępnił CV osób starających się o staż. Jedna z poszkodowanych pozwała bank i uzyskała 10 000 PLN odszkodowania… Czy teraz też ktoś pozwie telewizję albo agencję?

Zabezpieczanie aplikacji webowych to ciężka sprawa…

O błędach w konfiguracji webserwerów albo samych serwisów internetowych na nich hostowanych piszemy dość często. Łatwo jest je popełnić …ale równie łatwo można większość z nich samodzielnie namierzyć. Wystarczy wiedzieć czego szukać, poznać kilka narzędzi i technik “defensywnego” programowania. Tę wiedzę przekazujemy programistom na naszym 2 dniowym szkoleniu z Atakowania i Ochrony Webaplikacji, które regularnie realizujemy w Warszawie, Krakowie, Wrocławiu i Gdańsku i które zbiera bardzo pozytywne opinie od uczestników. Zapraszamy na najbliższe edycje — ich terminy poznasz tutaj.

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *