Hasła pozwalające sterować projektorami w muzeum? Czyli o tym, jakie ciekawe rzeczy znajdziesz w Google

Jeśli gdzieś na serwerze umieściliście pliki zawierające hasła, to pamiętajcie że często można je łatwo namierzyć, a ciekawskich nie brakuje. Właśnie w taki sposób nasz Czytelnik dokopał się do prototypu systemu krakowskiego muzeum. Nie bardzo to groźne, ale ciekawe!

Google Hacking wciąż żywy
Wśród tych, którzy do nas piszą, obserwujemy wzmożoną aktywność w zakresie tzw. Google Dorks. Może to efekt publikacji przez nas w ostatnich tygodniach tekstów o uczelniach lub wycieku danych osobowych znanych aktorów oraz modelek, a może tylko przypadek? W każdym razie nasz Czytelnik Kamil postanowił przeszperać wyniki Google dla frazy…

Index of / +haslo.txt

…i na jednej z wyszukanych stron znalazł coś takiego:

MOCAK to Muzeum Sztuki Współczesnej w Krakowie. Plik o nazwie wystawa.php zdaje się od razu potwierdzać, że chodzi o tę właśnie instytucje. Katalogi o nazwach “hasła” i “projektory” wyglądają na bardzo ciekawe eksponaty. Czytelnik odnalazł w nich hasła pozwalające m.in. na logowanie do logowanieadm.php. To z kolei, jak można się domyślić, dawało dostęp do interesującego panelu, w którym było widać adresy MAC urządzeń oraz coś, co wyglądało na panel sterowania projektorami w muzeum.

Nasz Czytelnik nie chciał sprawdzać, czy możliwe jest narobienie bałaganu w MOCAK-u. Zresztą MOCAK to specyficzne muzeum, jest szansa, że nawet jakby podmienić tam treści “od czapy”, to i tak żaden z odwiedzających wystawę by tego nie uznał za anomalię. A może nawet “zdeface’owana” treść dostałaby jakąś nagrodę?

My również nie chcieliśmy sprawdzać, co się stanie po podmianie, więc po prostu daliśmy znać rzecznikowi prasowemu muzeum. Krótko później zadzwonił do nas kierownik działu IT, który przedstawił nam wstępne uspokajające wyjaśnienia — skrypty nie pozwalały na sterowanie projektorami i nigdy “nie działały” poza siecią muzeum.

Reakcja nowoczesnego muzeum jest nowoczesna

Nawiasem mówiąc ludzie z MOCAK-u znają Niebezpiecznika i czytają go. Kierownik działu IT zaczął z nami rozmowę od podziękowań i zachęcił nas i Was do dalszych poszukiwań dla dobra bezpieczeństwa. To rzadko spotykana i godna pochwały reakcja. Challenge accepted 🙂

Nieco później otrzymaliśmy obszerniejsze, pisemne wyjaśnienie od rzecznika:

Bardzo dziękujemy za przekazane informacje. W rzeczy samej, wskazane pliki są prototypem prostego systemu, który miał ułatwiać zarządzanie odtwarzaczami multimedialnymi Muzeum. Zarządzanie tymi urządzeniami jest możliwe wyłącznie z wewnętrznej infrastruktury Muzeum. Pliki znalezione przez Państwa zostały kilka lat temu umieszczone na serwerze hostingowym w ramach otwartych testów. Przygotowywany projekt nie został jednak nigdy ostatecznie wdrożony.

Od tego czasu zmieniono już urządzenia służące do odtwarzania mediów, a także sposób zarządzania treścią. Poza samą ideą sterowania systemem, który został już wycofany z użytku, wyszukane pliki nie zawierały żadnych danych związanych z działalnością Muzeum, a wyszukane “hasła” nie są zgodne z polityką haseł Muzeum i służyły wyłącznie testom tej aplikacji na bardzo początkowym etapie.

W naszej ocenie ujawnienie tych plików nie stanowi zagrożenia dla działalności Muzeum.
Testy zostały dawno zakończone, a pierwsze wersje plików nie zostały usunięte z serwera hostingowego. Bardzo dziękujemy za ich wskazanie – zlecono ich niezwłoczne usunięcie.

I rzeczywiście, pliki nie są już dostępne na stronie, na której się znajdowały. Można powiedzieć “nic się nie stało, rozejść się”, ale historyjka i tak jest godna opisania. Zwykłe wyszukiwanie Google pozwala znaleźć różne rzeczy, włącznie ze śladami poważnych wycieków (tak jak w przypadku wycieku danych tysięcy znanych i mniej znanych aktorów oraz modelek). Niestety, mamy “w realizacji” także inne zgłoszenia ciekawych incydentów odnalezionych w ten sposób. Czekamy aż dane “znikną” z wyników wyszukiwania i będziemy je opisywać.

Wrażliwe dane Twojej firmy też mogą być publicznie dostępne

Dlatego na wszelki wypadek wpiszcie sobie w Google:

site: mojadomena.pl

i dokładnie przejrzyjcie, czy nie widać przypadkiem czegoś, co widoczne być nie powinno. Pamiętajcie też, że Google Hacking to tylko jedna z technik “namierzania” poufnych danych w publicznie dostępnym internecie. Zarówno na naszych szkoleniach z Atakowania i Ochrony Webaplikacji jak i Bezpieczeństwo Sieci Komputerowych (Testy Penetracyjne)pokazujemy kilka innych sposobów na wyciągnięcie przydatnych informacji “z internetu”. Na szkolenia oczywiście zapraszamy — oba są regularnie realizowane w największych polskich miastach. Najbliższe terminy i możliwość rezerwacji miejsca znajdziecie tutaj.

źródła: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *