Nova razkritja podatkov Nove24TV
Včeraj je skupina Anonymous na svojem Twitter računu objavila tekstovni seznam datotek iz spletnega strežnika Nove24TV.
Iz seznama datotek se vidi vsebina public_html mape njihovega spletnega strežnika, ne pa tudi seznam vseh datotek na strežniku. Kar nakazuje na to, da napadalci najverjetneje niso imeli dostopa do strežnika, pač pa samo do varnostnih kopij.
Iz seznama je razvidno, da je najstarejša datoteka z datumom 2011-07-29, najmlajša pa 2020-01-30.
Med datotekami lahko opazimo nekaj zanimivosti. Predvsem se iz seznama datotek vidi, da so imeli na spletnem strežniku dostopno 3,7 GB veliko kopijo neke podatkovne baze (verjetno gre za podatkovno bazo spletne aplikacije, ki teče na njihovi spletni strani):
-rw-rw-r– master_vdhdmgwfzj/www-data 3758239778 2020-01-23 10:53 public_html/baza.sql
Na tim. korenu spletnega strežnika se nahaja tudi PHP skripta cache_test.php (ki sicer ne vrne nič zanimivega).
V mapi wp-content/uploads sicer ni mogoče najti nič pretresljivega, je pa iz imen in vsebine nekaterih datotek (wetransfer-0ee497.zip, FW3a_Nlb_vita.zip,…) mogoče sklepati, da so upravljalci spletne strani Nova24TV.si svojo spletno stran uporabljali tudi za izmenjavo “zasebnih” datotek (datotek, ki niso bile javno objavljene, pač pa so si jih upravljalci med seboj izmenjevali z neposrednimi povezavami). Mimogrede, tudi te datoteke ne vsebujejo nič posebnega.
Zgolj kot zanimivost, med na spletni strežnik naloženimi datotekami najdemo tudi eno z nekoliko nenavadnim imenom - melania-pussy-jpg.jpg. Da, na sliki je Melanija Trump. In ne, na sliki ni videti mačke…
Skratka, tokratna objava ne prinaša popolnoma nič zanimivega, razen indicev, da so upravljalci spletne strani nova24TV na spletnem strežniku omogočali javni dostop do neke podatkovne baze z imenom baza.sql, ki je najverjetneje vsebovala arhiv njihovih vsebin. To pa pritrjuje naši teroriji, napadalci v resnici sploh niso vdrli v strežnik Nove24TV, pač pa da so pridobili zgolj varnostno kopijo baze (in vsebine spletnega strežnika), ki je bila zaradi malomarnosti ali napake javno dostopna.
Ob tem je zanimivo, da so Anonymousi na svojem Twitter računu včeraj zapisali, da glede objave podatkov Nova24TV nikoli niso uporabili besede “hack”, pač pa da je bil (oz. kot trdijo, je še) dostop do podatkov široko odprt, kar po njihovih besedah kaže na “popolno nekompetentnost” upravljalcev Nova24TV spletnega strežnika.
Mimogrede, da ne gre za vdor, so večkrat zatrdili tudi na Nova24TV in poudarili, da so napadalci “ukradli zgolj smeti in objavili potvorjene podatke”. Kar je nekoliko zabavno, saj v istem članku hkrati tudi trdijo, da so njihovi “IT strokovnjaki ugotovili, da so uspeli skopirati le staro varnostno kopijo spletne strani”. Domnevamo, da s tem niso hoteli reči, da so njihove spletne vsebine smeti…
Analiza baze
Kot kaže v tokratni objavi ni kakšnih posebej spornih podatkov. Je pa analiza MySQL baze prinesla nekaj zanimivosti. Tako se v bazi nahaja 1.795.706 IP naslovov komentatorjev spletnih vsebin, od tega je 63.469 IP naslovov unikatnih. Gre torej za veliko količino osebnih podatkov, zato pričakujemo hitro odzivnost IP-RS.
Hitra analiza IP naslovov kaže, da je bilo največ komentarjev (pričakovano) napisanih iz Slovenije. Sledjo pa IP naslovi iz ZDA in, presenetljivo, iz Egipta (oznaka države: EG). Ali gre za uporabo posredniških strežnikov, lahko samo ugibamo, a površen pregled je pokazal, da so komentarji iz te države napisani (tudi) v slovenskem jeziku, komentatorji, ki so jih pisali, pa so pisali komentarje tudi iz slovenskih IP naslovov. Se pa vsi IP naslovi iz Egipta nahajajo pri istem operaterju (TE-AS).
| oznaka države | št. komentarjev |
|---|---|
| SI | 1129640 |
| US | 18730 |
| EG | 17960 |
| CH | 12803 |
| NL | 7206 |
| GB | 6422 |
| DE | 6320 |
Največ komentarjev iz slovenskega IP prostora je iz omrežij Telemach, T-2, Siol in A1, kar nekaj komentarjev pa je bilo napisanih iz IP naslovov (če naštejemo samo najbolj zanimive): VOKA-AS (6.802 komentarjev), ZPIZ-SI-AS (3.899 komentarjev), ASN-DUTB Davcna ulica 1 (2.741 komentarjev), ZAVMB-DD (797 komentarjev), ZZRP (624 komentarjev), SLO-ZELEZNICE (330 komentarjev), NEK (287 komentarjev), RTVSLO-ASN (255 komentarjev), VZAJEMNA-SI-AS (173 komentarjev), GEN-I (171 komentarjev) in IUS-SW-ASN (147 komentarjev). Iz omrežja HKOM-AS (omrežje državne uprave), je bilo objavljenih 8.619 komentarjev. To kaže na to, da je niso vsi komentatorji upokojenci, pač pa so med njimi tudi zaposleni, komentarje na Nova24TV pa pišejo iz službenih računalnikov.
Analiza e-naslovov v odtujeni bazi kaže, da se v tabeli komentatorjev nahaja 12.493 unikatnih e-naslovov. Čeprav so nekateri že na prvi pogled lažni (izmišljeni), jih je verjetno kar precej pravih. Največ e-naslovov je iz domene Gmail, sledijo pa Yahoo.com, Hotmail in Siol.net. Kar nekaj komentatorjev se je registralo z e-naslovom oblike ime.priimek@domena.si, kar pomeni, da je mogoče njihove komentarje povezati z njihovo pravo identiteto. Vsekakor gre za veliko težavo s stališča varstva osebnih podatkov.
Analiza časa, ko komentatorji pišejo komentarje kaže, da število komentarjev začne naraščati zgodaj zjutraj, vrhunec doseže okrog 12h, ter potem zvečer okrog 19h (opazimo pa lahko, da število komentarjev v času večernih poročil nekoliko upade), nekje po polnoči pa se večina komentatorjev odpravi spat. V bazi se sicer nahajajo komentarji od 15. oktobra 2015 do 30. januarja 2020.
Čas komentiranja.
V bazi se torej nahaja kar nekaj osebnih podatkov, s katerimi je mogoče v nekaterih primerih razkriti pravo identiteto komentatorjev. To vsekakor ni dobro, zato je hitro ukrepanje Informacijskega pooblaščenca nujno.
Avtentikacijski žetoni
A kot kaže, imajo administratorji Nova24TV še eno težavo. V odtujeni bazi se namreč nahajajo tudi OAUTH dostopni žetoni (angl. OAUTH access tokens) in verjetno tudi API ključi za dostop do zunanjih storitev. Te podatke bi bilo mogoče zlorabiti. Glede na to, da je iz seznama datotek, ki jih je objavil Anonymous razvidno, da je imela spletna stran že takrat nameščen vtičnik Disqus, obstaja precejšnja verjetnost, da se v bazi nahajajo tudi avtentikacijski podatki za dostop do te storitve. Upravljalce spletne strani nova24TV smo na to težavo opozorili preko e-pošte in jim predlagali, da zamenjajo vse API ključe, avtentikacijske žetone in tudi vsa gesla svojih zaposlenih.
Rekonstrukcija gesel uporabnikov
Tabela komentatorjev (pa tudi administratorjev spletne strani) vsebuje tudi gesla uporabnikov, ki pa so šifrirana z metodo tim. soljene kontrolne vsote (angl. hash and salt). Zaradi uporabe kritografske metode soljenja, gesel tako ni mogoče zlorabiti na enostaven način.
Venar pa najnovejša objava Anonymousov kaže, da so se napadalci uspeli dokopati do konfiguracijske datoteke Wordpressa, ki poganja spletno stran Nova24TV. Gre za datoteko wp-config.php, ki v razdelku Authentication Unique Keys and Salts vsebuje kriptografske parametre za soljenje.
S pomočjo teh podatkov in nekaj računske moči, pa je rekonstrukcija gesel precej enostavnejša (čeprav ne trivialna), saj Wordpress kot metodo kontrolne vsote uporablja algoritem MD5 (o algoritmu MD5 in njegovih ranljivostih smo na teh straneh že večkrat pisali).
To pa predstavlja težavo, saj mnogo uporabnikov na različnih straneh uporablja ista gesla. Scenarij, ko nekdo uporablja isto geslo za objavljanje komentarjev na Nova24TV in za dostop do e-pošte, namreč sploh ni tako malo verjeten. Zato bi bilo nujno, da si vsi, ki so na Nova24TV kdaj objavljali komentarje, takoj zamenjajo vsa svoja gesla.
Ključne besede: informacijska varnost, hekerji