Hlavní navigace

Becherovka Lemond a příliš otevřená soutěž. Získat šlo údaje o soutěžicích, hesla a řadu dalších věcí

Daniel Dočekal

Nedávné problémy Poslanecké sněmovny (viz. Porno na PSP.cz? Pár dalších poučení z této kauzy) se zpřístupněním privátních informací na veřejně dostupném serveru nejsou až tak ojedinělé. S totožným bezpečnostním opomenutím se bylo možné setkat i na serveru soutěže Becherovky Lemond. Adresářové struktury webového serveru společnosti FOR INTERNET s.r.o. byly volně přístupné a bylo je možné procházet.

Nedávné problémy Poslanecké sněmovny (viz. Porno na PSP.cz? Pár dalších poučení z této kauzy) se zpřístupněním privátních informací na veřejně dostupném serveru nejsou až tak ojedinělé. S totožným bezpečnostním opomenutím se bylo možné setkat i na serveru soutěže Becherovky Lemond. Adresářové struktury webového serveru společnosti FOR INTERNET s.r.o. byly volně přístupné a bylo je možné procházet.

V adresářové struktuře byly vedle samotné aplikace, fotografií, knihoven, PHP souborů a konfiguračních souborů také údaje o soutěžících (jména a e-maily). Ale  i takové věci jako jsou přihlašovací údaje pro SQL server a některé další interní informace týkající se webové aplikace. 

Vyjádření společnosti FOR INTERNET, s.r.o.: Uvedený stav na stránkách skutečně existoval a po jeho zjištění a nahlášení panem Dočekalem, jsme zjednali ve 13:50 nápravu. Problém byl v nastavení direktivy Options +Indexes  pro testovací účely pro IP adresy mimo naši síť. 

Vyjádření značky Becherovka Lemond : Správa a zabezpečení webové aplikace je v kompetenci dodavatelské společnosti FOR INTERNET s.r.o. V tuto chvíli je celá situace vyřešena a data zabezpečena. Mrzí nás, že k uvedené chybě došlo a naším dodavatelem byla přijata taková opatření, aby se v budoucnu již neopakovala.

Na základě dnešního upozornění LUPA.CZ byl bezpečnostní nedostatek skutečně v poměrně krátké době opraven. 

Našli jste v článku chybu?
2. 7. 2012 22:38

Ortodoxní podpora Open source :-) Ale teď vážně, za takovou reakci si jich velice vážím, přiznat chybu je na místě a stát se to může, ovšem reakce v "kauze" PSP byla nechutná a jsem přesvědčen o tom, že byla zcela záměrně lživá.

2. 7. 2012 19:45
nedávám (neregistrovaný)

Všimli jste si, že najednou nejde o žádné tajemné hackery, žádné chyby ve firmě již nepracujících stážistů, ale máme tu prosté přiznání chyby bez vytáček? Za tohle má u mně FOR INTERNET palec nahoru. Chybu může udělat každý a mně se líbilo, že se na nic nevymlouvali.