W środę 20 grudnia u rzecznika prasowego serwisu aukcyjnego Allegro.pl urywały się telefony. Dziennikarze wydzwaniali, bo internet obiegła sensacja, że 5,5 mln użytkowników Allegro to potencjalne bezbronne ofiary hakerów, którzy łatwo mogą włamać się na ich konta w serwisie, wykraść lub zmienić dane osobowe, podszyć się i wystawić fałszywe aukcje... Jednym słowem - ukraść tożsamość użytkownika Allegro i działać na jego rachunek.
Problem wykrył i opisał dzień wcześniej serwis Hacking.pl. "Poziom bezpieczeństwa [Allegro] jest równy zeru" - ogłosili autorzy artykułu, którzy przeprowadzili i udokumentowali kontrolowane włamanie na jedno z kont w aukcyjnym serwisie. Po 24 godzinach bulwersujący news trafił nawet do telewizji.
Niedługo potem Hacking.pl w podobny sposób wypunktował kolejne firmy i instytucje. "Bezpieczeństwo klientów mBanku zagrożone!". "Pomarańcza na widelcu - co możemy wiedzieć o klientach Orange". "Fatalne zabezpieczenie serwerów Ministerstwa Obrony Narodowej" - alarmowały tytuły jego tekstów. Na jednej z witryn MON po udanej akcji pozostał napis: "Pozdrawiam! Michał Słowik - Hacking.pl".
Bezpieczeństwo do poprawki
Hacking.pl to niszowy serwis informacyjny o bezpieczeństwie informatycznym. Działa od siedmiu lat. Jego założycielem i właścicielem jest 25-letni Rafał Pawlak, student wydziału informatyki. Zespół serwisu to siedem osób, współpracowników jest kilkakrotnie więcej. Przez lata Hacking.pl zamieszczał głównie przedruki prasowo-agencyjne, m.in. o głośnych atakach informatycznych. Kilka tygodni temu sam wziął firmy na celownik.
- Chcemy podnieść u ludzi świadomość zagrożeń związanych z internetem i uczulić informatyków w dużych instytucjach, żeby popracowali nad bezpieczeństwem swoich klientów - wyjaśnia Pawlak. - Wiemy, jakie mogą być błędy w systemach IT, i niekiedy sprawdzamy jakąś firmę czy urząd. Znalezienie luki w mBanku zajęło nam 10 min, w Allegro poszło jeszcze szybciej.
Newsy Hackingu poszły w świat. - Do banku dzwonili klienci, pytając, czy ich dane są rzeczywiście zagrożone - mówi Jolanta Grzechca z biura prasowego mBanku. - Na szczęście nie było ich aż tak dużo i nie mieliśmy trudności, by ich uspokoić.
Podobnie było w Allegro. - Żadne dane od nas nie wyciekły, ludzie są bezpieczni. Niech pan to koniecznie napisze - nalegał zdenerwowany rzecznik Allegro Patryk Tryzubiak, gdy dziennikarz "Gazety" zadzwonił z prośbą o komentarz.
Wypunktowane firmy reagowały zgodnie z podręcznikową teorią PR w sytuacji kryzysowej. W zwięzłych oświadczeniach przyznawały, że opisana luka rzeczywiście miała miejsce, zapewniały, że była niegroźna i została jak najszybciej naprawiona, oraz podkreślały, że żaden klient nie ucierpiał. Allegro i Orange nawet grzecznie dziękowały Hackingowi za pomoc i ujawnienie błędu.
Nie brak było jednak takich, którzy do rewelacji Hackingu podchodzili bardzo sceptycznie.
Dziury czy dziureczki?
- Luki na Allegro czy w mBanku opisane przez Hacking.pl to specyficzny przykład ataku - mówi Krzysztof Młynarski, szef firmy Teleinformatica zajmującej się bezpieczeństwem w sieci. Taką lukę można wykorzystać tylko w szczególnych okolicznościach - klient musi się zalogować do systemu, a następnie - nie wylogowując się - kliknąć w link podesłany mu akurat przez hakera w e-mailu lub przez komunikator. - Prawdopodobieństwo, że w ten sposób ktoś straci dane, jest niewielkie - ocenia Młynarski. Jego zdaniem prawdziwemu przestępcy o wiele prościej byłoby np. umieścić na komputerze ofiary tzw. trojana - program sczytujący dane (loginy, hasła), które użytkownik wpisuje na klawiaturze. - 90 proc. problemów wynika z beztroski ludzi, którzy logują się na konta bankowe np. w kafejkach internetowych albo instalują na swoich komputerach co popadnie - dodaje.
Takich komentarzy było więcej. - Łatwo się włamać, gdy "ofiara" siedzi obok i posłusznie klika w co trzeba. W warunkach polowych taki mechanizm był praktycznie nierealny - narzeka anonimowo przedstawiciel jednej z zaatakowanych spółek. - Zrobili wielką afera z niczego. Ale dla nas lepiej było wziąć to na siebie i szybko zamknąć sprawę, niż polemizować i wbijać do głowy klientom złe skojarzenia.
- Mieliśmy lekki żal do redakcji serwisu - przyznaje dziś Jolanta Grzechca z mBanku. - Miałam wrażenie, że to szukanie taniej sensacji, tym bardziej że luka nie była poważna i szybko sobie z nią poradziliśmy - dodaje.
Wymarzona promocja
- Wszystkie te akcje to przede wszystkim wymarzona promocja dla Hackingu. Gorzej, że przy okazji w świat idzie sygnał, że jakaś firma ma serwis zupełnie niegodny zaufania. To wypaczanie rzeczywistości - denerwuje się jeden z naszych rozmówców.
Hacking.pl częściowo utrzymuje się z reklamy. Jego zespół zarabia też na usługach tzw. audytu informatycznego - na zlecenie danej firmy sprawdza podatność jej systemu na ataki informatyczne (wtedy oczywiście wyniki są poufne). Rafał Pawlak przyznaje, że efekt promocyjny publikowanych sensacji ma dla jego biznesu spore znaczenie. - Po niektórych publikacjach ruch na naszej witrynie potrafi wzrosnąć o 1000 proc. - mówi szef Hackingu (normalnie - jak podaje - stronę odwiedza 10 tys. osób dziennie).
Nie tylko Hacking.pl zajmuje się wynajdywaniem dziur i luk w zabezpieczeniach. Doniesienia o włamaniach i podmianie strony, zdobyciu baz danych o użytkownikach jakiegoś serwisu zdarzają się nawet na blogach indywidualnych internautów, którzy na własną rękę sprawdzają systemy różnych instytucji.
- Tego typu działalność młodych ludzi nie wpłynie na poziom bezpieczeństwa. Takie amatorskie audyty to zwykłe popisy, chęć zaistnienia, a czasem wręcz szczeniactwo i zwykły wandalizm sieciowy - uważa Młynarski. - Aż w końcu tacy amatorzy trafią na instytucję, której nie spodoba się, że ktoś bez jej zgody i wiedzy np. podmienił witrynę, i sprawa znajdzie się w sądzie. I nikt nie będzie patrzył na to, jakie mieli intencje.
Spytaliśmy o to mecenasa Xawerego Konarskiego z kancelarii prawnej Traple Podrecki Konarski. Jego wątpliwości budzi głównie sposób upublicznienia informacji o wykrytych lukach. - Praktycznie nie istnieją systemy IT całkowicie wolne od dziur. Dlatego mocno przesadne przedstawianie jednej luki jako rzekomo wyjątkowego słabego stanu zabezpieczeń Allegro czy MON można uznać za rozpowszechnianie przez jednego przedsiębiorcę wprowadzających w błąd wiadomości o innym przedsiębiorcy w celu przysporzenia sobie korzyści, tj. darmowej reklamy - wywodzi Konarski. - A to może wyczerpywać znamiona czynu z art. 14 Ustawy o zwalczaniu nieuczciwej konkurencji.
Hacking zhakowany
- Dawno temu niektórzy z nas bywali lekko na bakier z prawem - uśmiecha się Rafał Pawlak. - Ale obecnie wszystko, co robimy, jest w 100 proc. legalne. Bardzo na to uważamy i nie mieliśmy najmniejszych problemów prawnych.
- Czy niektóre wasze tytuły nie były, oględnie mówiąc, nadmiernie sensacyjne? - pytamy.
- Nie. Mogę się założyć, że gdyby ktoś spróbował wykorzystać wykryte przez nas luki w złych intencjach, byłoby bardzo wiele ofiar. Po naszych publikacjach wszystkie opisane firmy poprawiły błędy. Ich klienci są teraz bezpieczniejsi - podkreśla.
Zespół Hackingu zapowiada, że będzie kontynuował swoje akcje i muszą się z tym liczyć wszystkie firmy i instytucje, z których systemów informatycznych korzystają miliony internautów. - Trzeba sprawdzać, czy są oni bezpieczni - mówi Rafał Pawlak.
Dwa tygodnie temu zrobiło się zabawnie. Hacking.pl był przez kilka dni niedostępny, bo ktoś... włamał się na jego serwer. Zespół serwisu był oburzony, a atak uznał za "żenujący". - Zazwyczaj tego typu ataki skutkują jedynie podmianą strony głównej (...). W tym przypadku wandale wykasowali również wszystkie pliki oraz bazy danych - napisała rozżalona redakcja Hackingu. I zarzuciła nieznanym hakerom niedojrzałość i frustrację.
