Gość: hehe
IP: *.warszawa.sdi.tpnet.pl
28.05.02, 18:40
Warszawski internauta dwukrotnie wykrył dziury w zabezpieczeniach systemu
bezpłatnych kont pocztowych w portalu Interia.pl. Błędy usunięto, ale hakerowi
i dziennikarzowi magazynu komputerowego "Chip", który napisał o tym artykuł,
grozi proces.
Przemek, uczestnik zajęć z informatyki w warszawskim Pałacu Młodzieży, 10
kwietnia odkrył sposób, jak osoba nieuprawniona może - bez żadnego hasła -
wejść do skrzynki pocztowej dowolnego użytkownika poczty w portalu Interia.pl.
Taka dziura w zabezpieczeniach sprawia, że ktoś zupełnie obcy może przeczytać
nasze e-maile, a także wysyłać korespondencję w naszym imieniu.
- Sposób był bardzo prosty - wspomina Jan Słupski, student-instruktor
prowadzący zajęcia w Pałacu Młodzieży. - W formularzu wypełnianym podczas
zakładania nowego konta należało jako nazwę użytkownika podać nazwę konta, na
które chcemy się włamać.
Przemek, odkrywca tego błędu, stworzył też w celach demonstracyjnych specjalną
stronę, która umożliwiała niewprawnym internautom błyskawiczne wejście na
dowolnie wybrane konto w Interii.
"Muszę przyznać, że bardzo ciekawym dodatkiem do konta w Interia.pl. jest
możliwość logowania bez znajomości hasła" - napisał w e-mailu zaadresowanym na
adres portalu. Tego samego dnia Przemek poinformował o dziurze w
zabezpieczeniach Interii także redakcję magazynu komputerowego "Chip"
Informatycy Interii szybko usunęli błąd - co potwierdza zarówno wiceprezes
firmy Grzegorz Wójcik, jak i sam autor zamieszania prowadzący w internecie
dokumentację całej sprawy. Niestety, nie wszystko poprawiono. Tydzień temu ten
sam młody człowiek znów znalazł sposób na obejście zabezpieczeń Interii.
Dziennikarz "Chipa", chcąc sprawdzić, czy internauta mówi prawdę, wypróbował
nowy sposób obejścia zabezpieczeń i opisał to w artykule, który ukazał się na
stronach serwisu internetowego Chip-Online. Informacja znalazła się również w
biuletynie rozsyłanym do prenumeratorów magazynu. Po kilku godzinach artykuł
jednak usunięto.
- Interia przysłała do mnie sprostowanie w sprawie tego materiału - mówi Jerzy
Karwelis, prezes spółki Vogel wydającej "Chipa". - Poprosiłem ich o tydzień na
zbadanie sprawy. Zobowiązałem się, że na ten czas strona zostanie usunięta -
tłumaczy Karwelis.
Tymczasem o sprawie zrobiło się głośno i w polskim internecie zawrzało.
Powołując się na Chip-Online, informację o dziurze w Interii oraz o tym, jak
pojawił się i zniknął tekst w "Chipie", podało kilka internetowych serwisów
(m.in. Reporter.pl i poświęcony bezpieczeństwu Hacking.pl).
W rozmowie z "Gazetą" wiceprezes Interii Grzegorz Wójcik przyznał, że przez
bardzo krótki okres - dosłownie kilka godzin - rzeczywiście można było
nielegalnie wejść na dowolne konto w portalu, ale dziura została błyskawicznie
usunięta. Jedynymi osobami, które wypróbowały ten sposób, był odkrywca luki i
dziennikarz "Chipa".
Teraz obu im może grozić proces sądowy, bowiem w nowym kodeksie karnym łamanie
zabezpieczeń komputerowych jest przestępstwem podlegającym nawet karze
więzienia.
- Haker z Warszawy i dziennikarz "Chipa" włamali się do naszego systemu kont.
Teraz nasi prawnicy zastanawiają się, czy zgłosić rzecz do prokuratury. Nie
podjęliśmy jeszcze decyzji w tej sprawie - twierdzi Wójcik.
- Jeżeli zajdzie taka potrzeba, to oczywiście będziemy bronić naszego
dziennikarza - zapewnia Jerzy Karwelis.
- W Interii jest ponad 2 mln kont pocztowych - twierdzi Mariusz Kuziak
odpowiedzialny w spółce za marketing i PR. - Od czasu upublicznienia sprawy nie
zauważyliśmy zwiększonej liczby rezygnujących z naszych usług. Notujemy tyle
samo co przedtem - czyli 3-4 tys. dziennie chętnych na nowe konta.
Dziurawy e-mail
Na świecie dziury w systemach bezpieczeństwa systemów pocztowych wykrywane są
bardzo często. Nie ustrzegły się ich nawet największe serwisy, jak np. Hotmail
Microsoftu. Nigdy jednak właściciele serwisu nie skarżyli osoby, która ich
poinformowała o takim odkryciu, nie mówiąc już o dziennikarzach informujących o
sprawie opinię publiczną. Standardem jest też natychmiastowe informowanie
użytkowników o sprawie. Tak postąpił kilka miesięcy temu Onet.pl, który sam
poinformował internautów i prasę o wykryciu dziury w swoim systemie.
a ja tam miałem konto, dobrze że sie przeniosłem :)
