Wyciek danych klientów znanego sklepu z ubraniami i ciekawa reakcja administratora

W czwartek wieczorem ze sklepem internetowym firmy MISBHV, która sprzedaje bardzo drogie młodzieżowe ubrania na całym świecie, także w Polsce, stało się coś złego. Na naszą redakcyjną skrzynkę od wielu Czytelników spłynęło sporo informacji w tej sprawie. Podsumowujemy je poniżej:

polska marka stritłerowa trzyma na serwerze pdfy z danymi klientów do wysyłki. Imię, Nazwisko, Nr telefonu i oczywiście adres.

Według innego z Czytelników, serwer firmy MISBHV posiadał poważniejszy problem niż błędną konfiguracje udostępniającą PDF-y z danymi osobowymi klientów. Ktoś wrzucił na niego webshella co — wedle naszego Czytelnika — miało spowodować umożliwienia pobrania 19GB danych z bazy sklepu:

Koło godziny 23:47 (czasu Polskiego) w czwartek aka 12.04.2018 na stronie polskiej marki odziezowej misbhv.pl (misbhv.com) baza danych nagle została otworzona, przez co 19gb danych uległo publicznemu objawieniu – w tym dane klientów – ich adresy, nazwiska itp.

Ciężko jest powiedzieć, czy webshell to wynik tego, że ktoś zwrócił uwagę na niezabezpieczony serwer MISBHV po tym, jak internet obiegła wiadomość, że firma przez błąd konfiguracyjny dopuściła się wycieku danych osobowych klientów — czy może samo ujawnienie przechowywanych w tzw. “głębokim ukryciu” PDF-ów z danymi klientów było wynikiem wrzucenia webshella po odnalezieniu innej podatności. Możliwe jest też, że webshell był tam od początku — znamy administratorów, którzy korzystają z webshelli (i zostawiają je na serwerach produkcyjnych) aby… ułatwić sobie zarządzanie serwerem.

Wedle relacji na stronie MEMEBHV (parodiującej markę MISBHV) można było nawet modyfikować zapisy w bazie. Oto jeden z URL jaki opublikowano na tamtej stronie:

http://misbhv.com/media/xmlconnect/themes/updatebillinginformation/Tobiasz

A ktoś nawet podmienił zawartość strony głównej:

Reakcja sklepu MISBEHAVE

W odpowiedzi na pytania klientów, marka wysyłała następujący komunikat:

Oświadczenie jest prawdziwe, choć całej prawdy nie mówi. Wycieku danych bankowych (domyślamy się, że przez to pojęcie marka rozumie login i hasło klienta do jego konta bankowego, którym opłacał internetowe zakupy) nie doszło. Ale doszło do wycieku innych danych, o którym to marka w odpowiedzi do klienta nie wspomina… Po wejściu w życie GDPR/RODO to nie byłoby takie łatwe…

Ale to nie jedyna reakcja marki na pojawiające się w internecie wiadomości o błędzie serwera który skutkował udostępnieniem światu faktur z danymi osobowymi klientów. Administrator fanpage, na którym pojawiły się informacje o wycieku dostał takie oto “ostrzeżenie”, które odebrał jako groźbę:

Nie mniej jednak, na parodiującym marke profilu pojawiło się dziś takie oświadczenie:

Przepraszam markę MISBHV oraz wszystkich, który poczuli się urażeni moim postem. Wczoraj przeglądając stronę misbhv.pl źle skopiowalem link, co skutkowało ukazaniem się moim oczom ogólnodostępnych katalogów zdjęć ze strony. Przeglądając je razem z fanami trafiliśmy na folder, który zawierał zdjęcia naklejek na paczki wysyłane kurierem. Zawierały one imię, nazwisko jak i adres odbiorcy. Udostępniłem informację o tym, że każdy ma dostęp do danych zamawiajacych, a sama baza nie jest w żaden sposób zabezpieczona.
Żałuję tej decyzji, powinienem był natychmiast zgłosić ten błąd. Wszystkich, którzy poczuli się dotknięci moim zachowaniem z całego serca przepraszam.

W zwiazku z tym incydentem, mamy dwie rady.

Pierwsza dla każdego, kto znajdzie błąd na czyimś serwisie WWW. 

    • Zanim opublikujecie o tym informacje w internecie, dajcie znać administratorowi serwera. Pomyłki zdarzają się najlepszym. Warto dać im szansę na naprawę, a nie szukać swoich 5 minut sławy. Co więcej, coś co może się Wam wydawać niewinnym błędem, dla bardziej wprawnego oka może okazać się błędem, który pozwoli na wyrządzenie o wiele większych szkód (np. wgranie albo odnalezienie już wgranego webshella). Pamiętajcie też, że od roku możecie szukać błędów na czyimś systemie legalnie (pod pewnymi warunkami) i również legalnie zgłaszać swoje znaleziska administratorowi bez narażania się na odpowiedzialność (por.

Nie musisz już zakładać kominiarki do komputera — korzystna zmiana Kodeksu karnego dla szukających błędów komputerowych

    • )

Druga rada przeznaczona jest dla właściciela serwera, z którego przez błędną konfigurację wprowadzoną przypadkowo lub świadomie wyciekają dane. Don’t miss behave 😉 A poważniej: do incydentu trzeba się przyznać. Rzetelnie poinformować co wyciekło, do czego był dostęp. Wysyłanie niepełnych komunikatów do klientów wyjdzie na jaw. Straszenie kogoś postępowaniem karnym też (pamiętajcie też, że samo grożenie postępowaniem też może być karalne). Takie działanie to prosty przepis na to, aby sprawa została jeszcze bardziej rozdmuchana. Przykładowo, różne redakcje w Polsce (w tym nasza) dziennie dostają wiele zgłoszeń o “wyciekach” danych w postaci danych z faktur/nalepek i nie nagłaśniają każdego z nich, zwłaszcza jeśli dotyczy on małoznanej marki i ma niewielki zakres. Ale jeśli do redakcji dojdzie informacja, że marka rozpoczyna prawną batalię, to jest to juz jak najbardziej interesujący temat, na który może pojawić się artykuł.

My z ciekawością będziemy przyglądać się temu, jak przebiegnie to zgłoszenie i postępowanie oraz interpretacja przez prokuraturę przepisów i całości wydarzenia.

Do sklepu MISBHV wysłaliśmy pytania w sprawie tego incydentu. Kiedy otrzymamy odpowiedź, opublikujemy ją w aktualizacji.


Aktualizacja 14.04.2018, 15:58
Otrzymaliśmy oświadczenie sklepu:

Serdeczne pozdrowienia!
W nocy z dwunastego na trzynastego kwietnia, po godzinie 23:00, doszło do ataku na prywatne dane części naszych klientów.
Do nieuprawnionego złamania dostępu do serwera doszło za pośrednictwem “backdoora” – poprzez działanie podmiotu zewnętrznego na kilkanaście minut doszło do otwarcia zabezpieczonych i ukrytych plików służących do usprawnienia bieżącej pracy kurierów. Pliki te, ze swego założenia tymczasowe (kasujące się samoczynnie po zrealizowaniu wysyłki kurierskiej) najprawdopodobniej w wyniku błędu twórcy skryptu gromadziły się na serwerze. Pliki były jednak w 100% zabezpieczone i niedostępne dla nikogo bez odpowiednich uprawnień.
Atak zbiegł się w czasie z aktywnością Pana Bartosza Jurka, który na swoim profilu opublikował prywatne dane osób fizycznych, głównie Polaków, będących klientami marki – nawołując do plądrowania i dalszego przekazywania sobie ich danych prywatnych.
Administrator profilu, mimo pełnej świadomości wagi swojego czynu nie tylko sam złamał prawo udostępniając dane osób prywatnych, ale również namawiał do tego swoich “fanów”. To, co miało być atakiem na naszą firmę przerodziło się, de facto, w bezpośredni atak na naszych klientów.
Wyciek został zatrzymany w 10 minut. Serwis został ponownie zabezpieczony a żadne dane wrażliwe nie doznały uszczerbku.
Nie boimy się złośliwości czy personalnych ataków – kiedy w grę wchodzi jednak dobro niewinnych klientów nie możemy pozostać bezczynni.
Przepraszamy naszych klientów za zaistniałe zamieszanie. Pomimo bardzo sprawnej reakcji, pomimo tego, że agresja dotyczyła jedynie wąskiej grupy naszych klientów i nie zagroziła danym wrażliwym jest bezsprzecznie winą naszą oraz administratora naszego serwisu niedostateczne zabezpieczenie przed tego typu atakiem.
Z wyrazami szacunku,
zespół M I S B H V

Firma wspomina o backdoorze. Chodzi zapewne o webshella, którego screen przytoczyliśmy w artykule. Co ciekawe, data jego ulokowania na serwerze sugeruje, że był on na nim obecny od 2 miesięcy! MISBHV informuje również, że dane klientów były “zabezpieczone” i przechowywane na serwerze tylko na czas wysyłki produktów, ale “w wyniku błędu” gromadziły się na serwerze — jak widać na screenshotach, od ponad roku. Firma informuje, ze Bartosz Jurek nawoływał do plądrowania i dalszego przekazywania sobie danych klientów. Nie udało nam się tego potwierdzić, ale dotarliśmy do treści usuniętego już postu, który Bartosz Jurek umieścił na swoim fanpage.

Firma MISBHV odpowiedziała tylko na część naszych pytań. Oto pytania, na które nie otrzymaliśmy odpowiedzi:

4. Dane na temat ilu klientów były dostępne na serwerze w formie plików PDF w czwartek 12 kwietnia 2018?

5. Czy prawdą jest, że złożyliście Państwo zawiadomienie do prokuratury rejonowej w sprawie popełnienia przestępstwa przez administratora fanpage MEMEBHV z art. 267 p. 1 oraz 267 p.4 KK?

6. Czy poinformowaliście już Państwo o niniejszym incydencie Waszych klientów, którzy dokonali zakupu, a których dane znajdowały się w czwartek 12 kwietnia 2018 na serwerze i były publicznie dostępne, przez co mogły zostać pozyskane przez każdego internautę? Jeśli nie, kiedy taki komunikat zostanie wysłany?

źródło: niebezpiecznik.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *