poniedziałek, 19 marca 2012

[Aktualizacja] Jakie rewelacje znalazłem na nieczynnym katalogu stron

W celu ułatwienia sobie procesu pozycjonowania stron, pobrałem dziś wersję próbną półautomatycznej dodawarki do katalogów.Czym to się skończyło, przeczytacie w artykule.
Każdy kto kataloguje strony wie, jakie to żmudne zajęcie.Tyle ile katalogów, tyle razy trzeba wpisywać tytuł strony, jej adres url, opis i słowa kluczowe.Półautomatyczne dodawarki do katalogów przyspieszają ten proces, gdyż automatycznie uzupełniają ww. pola w formularzu dodania wpisu do katalogu, a ponadto umożliwiają stworzenie kilku opisów strony i wstawienie losowego z nich do danego katalogu.

Tak więc dziś rano uruchomiłem dodawarkę i zacząłem dodawać wpisy.Warto tu dodać, że była to wersja demonstracyjna dodawarki z wbudowaną bazą ponad 100 katalogów.Można była za jej pomocą katalogować maksymalnie 3 strony.Pełna wersja dodawarki kosztuje ok. 100 zł.Postanowiłem ją więc przetestować.
Po ok. 1,5 godziny pracy i przedzierania się przez katalogi zgłaszające komunikat Gate Timeout, 404 not found oraz istniejące katalogi przystąpiłem do dodawania kolejnego wpisu.Otwarłem stronę katalogu, moim oczom ukazał się brak pliku startowego, a zamiast tego widoczne były 3 katalogi.


Postanowiłem sprawdzić, co się kryje w każdym z tych folderów.



W folderze pdfmake jak się domyśliłem po nazwie, znajdują się skrypty służące generowaniu bliżej nie określonych plików pdf.Folder pawel to składnica prywatnych plików użytkownika Paweł.Folder files jest najciekawszy, gdyż znajduje się tam 638 (sic!) plików pdf.Postanowiłem zobaczyć, cóż takiego kryje się w plikach pdf.


Kulisy sprawy, czyli kto dał plamę?
Jak podejrzewałem, właściciel placówki medycznej nie miał pojęcia o tym, co się dzieje.Placówka medyczna po prostu wynajęła firmę, która aktualizowała im serwis internetowy.Nierzetelność firmy informatycznej doprowadziła do wycieku danych osobowych.

Co dalej?
Zgodnie z zasadami, rozpoczynam procedurę responsible disclosure.Jeśli nie przyniesie ona efektu, o sprawie zostanie powiadomione GIODO.Będę informował o postępach na bieżąco.

[#1 Aktualizacja 20.03.2012]
Skontaktowałem się z Niepublicznym Zakładem Opieki Zdrowotnej w sprawie incydentu prosząc o usunięcie nieprawidłowości.

[#2 Aktualizacja 21.03.2012 godz. 9:00]
Dane osobowe pacjentów zostały już usunięte z publicznego dostępu, jak mnie zapewniono, serwis jest już właściwie zabezpieczony.Po sprawdzeniu potwierdziłem taki stan rzeczy.

[#3 Aktualizacja 21.03.2012 godz. 16:30]
Dzwonił do mnie właściciel Niepublicznego Centrum Opieki Zdrowotnej.Zapewniłem go, że wszystko jest pod kontrolą i newralgiczne dane zostały już usunięte.Podziękował mi za profesjonalizm i zajęcie się sprawą.Z mojej strony najważniejsze jest to, że udało się szybko opanować sytuację i nie doprowadzić do niepotrzebnej paniki.

0 komentarzy:

Prześlij komentarz

Podziel się swoimi myślami.Spam nie będzie tolerowany.