Wpis z mikrobloga

Dzień dobry,
Niestety musimy Was przywitać dzisiaj bardzo złymi wieściami.
Dzisiejszej nocy mieliśmy bardzo duży wyciek danych.

Wczoraj wieczorem zgłosił się do mnie użytkownik @Obserwuj z informacją, że mamy „bug”, który powoduje, że ktoś może uzyskać dostęp do wszystkich zdjęć, które do nas nadesłaliście.
Niestety, bug okazał się prawdziwy – i to jest pierwszy błąd, który popełniłem.
Na dwa tygodnie przed rozpoczęciem tej edycji przeniosłem Wykopocztową stronę na nowe serwery.
Główny serwer, na którym znajduje się strona internetowa i na którym znajdują się Wasze dane osobowe jest całkowicie bezpieczny.

Niestety, w tym roku postanowiłem przerzucić wszystkie zdjęcia na serwery Amazona, po to, aby odciążyć główny serwer i skrócić czas ładowania strony do minimum.
Popełniłem przy tym jeden z najbardziej trywialnych błędów, którego się na tym etapie nikt by się nie spodziewał – na jednym Buckecie włączony był tzw. listing plików.
Jest to błąd w konfiguracji, który powodował, że przy odpowiedniej modyfikacji URL zdjęcia można było wyświetlić linki do wszystkich plików, które znajdowały się w danym momencie na serwerze.
Tym sposobem @Obserwuj uzyskał dostęp do zdjęć, do których nie powinien.
Po paru godzinach (około 5) zgłosił nam ten błąd, który w ciągu 10 minut od wiadomości naprawiliśmy. @Obserwuj w wiadomościach do nas, wyrażał nadzieję, że tylko jemu udało się ten błąd znaleźć i w którym zaproponował darmowe pentesty (sic!).

I w tym momencie popełniłem drugi błąd – zaufałem temu człowiekowi.
Oczywiście, natychmiast wyłączyłem listing plików oraz natychmiast przerzuciłem zdjęcia do innego folderu, aby zmieniły swój układ URL, jednak w ostatnim dniu weryfikacji zdjęć nie miałem czasu zrobić tego „jak należy” i nie zmieniłem URL każdego zdjęcia z osobna, tylko dokonałem hurtowej zmiany z zamiarem całkowitego naprawienia problemu jak tylko sytuacja z weryfikacjami się „uspokoi”.

Około 23:40 @Obserwuj wrzucił wpis na mirko, w którym zaczął grozić aferą po wycieku (o którym de facto tylko on wiedział) i finalnie ok. 00:30 w nocy wrzucił link do pastebin z linkami do wszystkich zdjęć (już z poprawionym URL). Niestety, zanim wrzucił link pobrał 626 zdjęć na swój komputer przy użyciu HTTrack’a i nie mogę Was zapewnić czy nie udostępni dalej tych zdjęć.

Niestety, zanim udało mi się całkowicie zablokować dostęp do tych zdjęć pięć osób pobrało po około 50 zdjęć łącznie. Mam login jednej z nich, liczę, że jeszcze dzisiaj uda się uzyskać pozostałe z logów, które posiadamy.
Wiem, że taka sytuacja NIGDY nie powinna mieć miejsca – przepraszam.
Mogę Was jedynie ‘trochę’ uspokoić: nie wyciekły ŻADNE DANE OSOBOWE. Wyciekły tylko (i aż) zdjęcia.
Wiem też, że ta sytuacja spowoduje całkowitą utratę zaufania w tej kwestii, dlatego też jest to moja ostatnia Wykopoczta w roli organizatora.
Oczywiście, tę edycję doprowadzę do końca i zrobię wszystko co w mojej mocy, aby każda osoba otrzymała swoją paczkę.

Cześć z Was czeka jeszcze na informacje o nowej parze – przepraszam, z powodu tego zamieszania te informacje otrzymacie dopiero w poniedziałek na wieczór.
Na chwilę obecną muszę zająć się sprawą wycieku i doprowadzić ją do końca.

Jeszcze w tym tygodniu zlecę przeprowadzenie audytu bezpieczeństwa przez firmę zewnętrzną pod kątem ewentualnych uchybień, aby mieć pewność, że niczego nie przeoczyłem i deklaracja, że Wasze dane osobowe są bezpieczne jest prawdziwa.

Jeżeli ktoś z Was otrzymał np. na PW linki do zdjęć, do których nie powinniście dostać PW lub jakiekolwiek inne informacje bardzo proszę o wiadomość na PW @b__g, formularz kontaktowy Wykopoczty lub adres e-mail: kontakt [malpka] wykopoczta.pl

W przypadku pytań lub wątpliwości – proszę piszcie przez formularz kontaktowym – przez ostatni tydzień mam naprawdę bardzo dużo powiadomień jak i PW i Wasza wiadomość może mi uciec.
Alternatywnie możecie napisac e-maila: kontakt [malpka] wykopoczta.pl

Wiem, że dzień nie zaczyna się dobrą wiadomością,
życzę Wam jednak, aby reszta niedzieli była dla Was lepsza.
@b__g

#wykopoczta #wykopocztaorganizacja #wykopocztaogloszenie