Autor: Łukasz Aranowski Data: 2021-03-22 09:56:53 Tematyka: PTTK w internecie
Cześć.
W ostatni weekend po nieudolnych i niekompetentnych działaniach admina serwera PTTK zostały skompromitowane hasła w domenie PTTK. Na skutek błędów w konfiguracji SSL-a po wejściu na stronę Oddziału Międzyuczelnianego PTTK w Warszawie za pomocą protokołu HTTPS zamiast za pośrednictwem interpretera PHP serwowane były bezpośrednio pliki z kodem w wersji tekstowej. Oznacza to, że można było obejrzeć cały kod Wordpressa na którym stoi strona oddziału łącznie ze wszystkimi hasłami - również do bazy danych. Efekt wejścia pod adres https://om.pttk.pl/ (2021-03-21) Po wejściu na stronę Chromem kod wyświetlał się od razu. Po wejściu Firefoksem - trzeba było podejrzeć źródło strony (CTRL+U). Dwie minuty wystarczały aby dotrzeć do plików konfiguracyjnych wp-config.php i innych. Plik konfiguracyjny z hasłem do bazy danych OM (2021-03-21) Nie wiem jakie są rozmiary awarii. Czy dotyczy ona jednej poddomeny, czy wszystkich? Czy zostały narażone dane osobowe? W normalnej sytuacji należałoby natychmiast wyłączyć serwery WWW oraz bazodanowy i zaudytować problem, co pozwoliłoby oszacować szkody. Ale w PTTK nie ma normalnych sytuacji...
Awaria została zauważona w niedzielę 20 marca o godzinie 18:22 przez jednego z forumowiczów (mam nadzieję, że dostanie on oddzielnym kanałem podziękowania od władz oddziału) i zgłoszona do mnie. Jak tylko odczytałem maila, dzięki szybkiemu wsparciu dwóch kolegów i za ich pośrednictwem (dzięki!) powiadomiłem aktualne władze Oddziału Międzyuczelnianego PTTK w Warszawie oraz Prezydium ZG PTTK. Ostrzegłem wszystkich, że należy działać błyskawicznie.
W chwili gdy piszę tego posta jest ranek następnego dnia. Minęła cała noc, biuro ZG pracuje od prawie dwóch godzin. I wiecie co? Wszystko jest jak było. Baza danych nie została wyłączona, usterka nie została naprawiona, komunikatu w tej sprawie nie wydano. Jednym słowem: "trwanie i kontynuacja".
Miałem poczekać z publikacją tego posta na usunięcie awarii. Ale skoro wszyscy mają to w dupie, to czemu ja miałbym nie mieć? W sumie - nie mój cyrk, nie moje małpy. Nie będę nawet zamazywał haseł na zrzutach ekranu - w końcu i tak każdy może sobie wejść i sam je odczytać.