Rządowe witryny powinny charakteryzować się treściami najwyższej jakości, a domeny należałoby należycie zabezpieczać. W praktyce zdarzają się jednak wpadki, na które natrafiają internauci. Ostatnio klikając w wynikach wyszukiwania adresy stron z rządowymi domenami, można było trafić na strony z treściami dla dorosłych.
Rządowe domeny i witryny 18+
Na sprawę zwrócił uwagę serwis Niebezpiecznik po zgłoszeniach otrzymywanych od czytelników. Zauważyli oni, że szukając w Google różnych fraz, można natrafić na wyniki z rządową domeną gov.pl. Wyglądało na to, że są to strony Polskiego Centrum Akredytacji oraz Narodowego Funduszu Zdrowia.
Po kliknięciu wspomnianych wyników wyszukiwania użytkownik nie trafiał jednak na rzeczywiste strony państwowych instytucji, tylko na strony z treściami dla dorosłych. Przykładowo, witryna udająca tę należącą do NFZ informowała o 4 dziewczynach chcących się z nami spotkać.
Na liście ofiar był też serwis lublin.eu, korzystający z hasła “miasto inspiracji“. Faktycznie, zdjęciami udostępnianymi przez “samotną matkę szukającą rozrywki” można było się nieźle zainspirować.
– pisze portal Niebezpiecznik.
Na szczęście osoby, które weszły na wspomniane strony, najprawdopodobniej nie czekają negatywne konsekwencje z tym związane. Wygląda na to, że celem atakujących było jedynie poprawienie pozycjonowania stron dla dorosłych w wyszukiwarce. Osoby odpowiedzialne za kod rządowych serwisów uważają też, że atakujący nie mieli zdolności odczytu danych z serwerów.
Z każdym z opisanych serwisów jest związany CMS Edito od firmy Ideo z Rzeszowa oraz skrypt redir.php. Teoretycznie ktoś mógł przejąć lukę w CMS-ie i zhakować korzystające z niego serwisy lub przejąć uprawnienia użytkownika. Możliwy jest także inny scenariusz, o którym mówi Krzysztof Kawalec, Head IT/CTO odpowiedzialny za Edito, cytowany przez Niebiezpiecznik.
[Sytuacja] Dotyczy nieodpowiedniego (zewnętrznego) wykorzystania błędu funkcjonalności przekierowań w systemie. Jest to podatność, która wywoływana jest z zewnątrz systemu, dlatego nie możemy mówić o ataku jako takim. Pragniemy wyjaśnić, że nie doszło do włamania na serwery, czy do panelu Edito CMS, lecz został wykorzystany plik “redir.php” do przekierowania na złośliwe strony. (…) Ten plik występował w niewielkim odsetku projektów, które wymagały nietypowej obsługi przekierowań i związany był z modułem reklamowym.
Czytaj także: Jak zacząć budować swoje cyberbezpieczeństwo? 5 rad od eksperta dla początkujących
Polskie Centrum Akredytacji potwierdziło usunięcie pliku do przekierowań. Plik miał znajdować się w systemie CMS, ale nie być używany przez moduły funkcjonalne.
źródło: Niebezpiecznik, zdjęcie główne: Mika Baumeister/Unsplash