Docierają do nas dziesiątki zgłoszeń od użytkowników Allegro, którzy przeglądając serwis, zamiast widzieć sparsowany kod HTML, widzą zwracane przez serwer pliki z kodem PHP do pobrania. Nie ma powodu do paniki – przynajmniej na razie. Próbki kodu, które do nas trafiły nie niosą za sobą (póki co) żadnego dla użytkowników ryzyka. Choć znajdują się tam nazwiska i adresy e-mail programistów, ID ticketów z systemu zarządzania błędami oraz nazwy funkcji i intranetowe URL-e, a także ścieżki do includów – niektóre zawierają hasła do serwerów.
Fragment pliku z kodem źródłowym PHP zwracanego uzytkownikom Allegro
Kod źródłowy Allegro
Niektórzy otrzymują też niesparsowany PHP jako “wstawkę”:
Poniżej lista unikatowych plików jakich kod źródłowy podesłali nam czytelnicy (jeśli zobaczyliście kod innego pliku, dajcie znać w komentarzach):
Część z ww. plików zawiera includy i inicjalizację ładowania aplikacji (showform, show_user.php, mypayback.php, listing.php), ale pozostałe różnią się kodem i zawierają konkretne funkcje a także m.in hasła do serwerów bazodanowych czy definicje serwerów memcache.
Kto wie, może na bazie tych wycieków w końcu uda się jednoznacznie potwierdzić albo zaprzeczyć temu, że Allegro nie hashuje haseł ? 😉
Tego typu wycieki często spowodowane są błędną konfiguracją webservera lub błędną pracą loadbalancera i w najgorszym przypadku mogą zdradzić zahardkodowane w kodzie klucze i hasła, ujawnić błędy typu “głębokie ukrycie” a w najmniejszym stopniu pokazać na ile (nie)profesjonalnie tworzony jest kod i kto za niego odpowiada.
Problem tego typu kilka lat temu dotknął też serwis blogowy Onetu.
Dziękujemy wszystkim czytelnikom (yellowbit, Łukasz, Maciej, Sławomir, Tomasz, Michał, Dominik, Piotr, JIFFNET, Piotr, arek, wiki, Tiz, Michał, Michał, Ania, i innym), którzy podesłali do nas próbki.
Aktualizacja 19:24
Jeden z czytelników rzekomo dotarł do pliku konfiguracyjnego frameworka Allegro i wszedł tym samym w posiadanie haseł do serwerów bazodanowych Allegro (co oczywiście nic nie daje, jeśli się do serwerów nie ma dostępu). Czytelnik opublikował informacje na ten temat na swoim mikroblogu na Wykopie. Niestety wpis został już usunięty (chociaż dalej jest dostępny przez Google Cache, a jego kopie pojawiły się na Pastebinie).
Rzekomy konfig z hasłami
Należy mocno podkreślić, że nawet ujawnienie haseł (zwłaszcza, jeśli tak jak w tym przypadku, są one długie i losowe) nie stanowi zagrożenia dla użytkowników Allegro. O ile nawet przyjąć iż config ujawnia faktyczne, wewnętrzne nazwy serwerów bazodanowych, to jest niezwykle małoprawdopodobne, że dostęp do tych serwerów jest możliwy z internetu. Losowość haseł uniemożliwia też ich wykorzystanie w innym kontekście.
Aktualizacja 22:30
Allegro kategorycznie zaprzecza, że kod źródłowy zawierający hasła jest autorstwa Allegro. Oto oświadczenie serwisu:
W nawiązaniu do informacji, które pojawiły się w Aktualizacji z godziny 19:24, stanowczo podkreślamy, że opisana sytuacja jest nieprawdziwa. Kod, który opublikował czytelnik nie należy nawet do Allegro, więc taka sytuacja nie mogła mieć miejsca.
źródło: www.niebezpieczniki.pl
Redaktorka Net Complex Blog