43

[Aktualizacja] No i ktoś zrobił to Niebezpiecznikowi

Serwis Niebezpiecznik.pl od dłuższego czasu jest niedostepny, wcześniej natomiast z adresu niebezpiecznik.pl przenosiło na stronę gdzie można było przeczytać coś na kształt manifestu „włamywacza”. Sugerował on, że cała akcja z włamaniem to swojego rodzaju pstryczek w nos dla ekipy Niebezpiecznik.pl. Z dostępnych informacji można wywnioskować, że tak zwani włamywacze wykorzystali skryptu JS który był przetrzymywany […]

Niebezpiecznik hacked, czyli przepowiednie się spełniają | Zaufana Trzecia Strona

Serwis Niebezpiecznik.pl od dłuższego czasu jest niedostepny, wcześniej natomiast z adresu niebezpiecznik.pl przenosiło na stronę gdzie można było przeczytać coś na kształt manifestu „włamywacza”.

Sugerował on, że cała akcja z włamaniem to swojego rodzaju pstryczek w nos dla ekipy Niebezpiecznik.pl. Z dostępnych informacji można wywnioskować, że tak zwani włamywacze wykorzystali skryptu JS który był przetrzymywany na innym serwerze a używany w serwisie Niebezpieczni.pl (zresztą w manifeście jest też tego typu sugestia).

Na chwilę obecną Piotr Konieczny nie komentował jeszcze całej sytuacji, tak samo nie ma żadnych wiadomości na profilu Niebezpiecznik na Facebooku. Sytuacja dla załogi z pewnością nie jest przyjemna, organizują szkolenia związane z bezpieczeństwem i teraz nawet jeśli wina nie leży po stronie zabezpieczeń ich serwera to i tak przy każdej okazji będą musieli się z tej sytuacji tłumaczyć.

Nie jest łatwo być „popularnym” specem od bezpieczeństwa, każdy będzie próbował nas sprawdzić, wielu będzie uważać nas za amatorów i pojawi się wielu którzy udowodnią, że się nie znam. Wystarczy jeden prosty błąd i wpadka gotowa. Kiedyś musiało się to przydarzyć.

[Aktualizacja]
Strona Niebezpieczni.pl jest już dostępna – czekam na artykuył z opisem tego co się wydarzyło i jak doszło do „włamania”

No i już wiadomo co się stało, zgodnie z wcześniejszymi przypuszczeniami winny całemu zajściu okazał się zewnętrzny skrypt który był wykorzystywany również na Niebezpiecznik

Dyskusyjny plik (celowo nie podajemy jego nazwy, czekamy aż prawdziwa ofiara ataku załata dziurę) includujemy i whitelistujemy w naszej polityce CSP. Kiedy na ostatnim spotkaniu OWASP w Krakowie opowiadałem o CSP i tym jak pomaga ono w ochronie przed XSS-ami, wspomniałem o tym, że i CSP da się “zhackować” — o ile atakujący dostanie się na zawhitelistowany serwer, z którego załączamy jakieś zasoby w kontekście naszej strony. I dokładnie to stało się dziś — ktoś przełamał zabezpieczenia nie Niebezpiecznika a jednej z firm z którą współpracujemy i do której to odwołujemy się poprzez załączenie skryptu.