Jak Chip z Interią dziurę łatali

20 maja serwis internetowy Chip-a donosił o wykryciu przez uczestnika kursu programowania stron WWW w Warszawie dziury w systemie poczty elektronicznej portalu Interia. Dodatkowo odkrywca dziury skonstruował stronę umożliwiającą wejście na dowolne konto istniejące w Interii. Jan Słupski, instruktor kursu, na którym tak skutecznie edukował się „Przemek, uczeń liceum”, przesłał informację do kilku redakcji prasowych oraz do Interii. Dzięki temu administrator portalu mógł zareagować bardzo szybko. Skrypt przetestował jego twórca oraz redakcja Chipa, tyle że odkrywca wykorzystał do tego celu fake-owe konto, a redakcja skrzynkę prawdziwe użytkownika poczty. Następnie zresztą, niezbyt w naszej ocenie elegancko, serwis umieścił nawet zrzuty dokumentując włamanie.

Wkrótce potem jednak, gdy sprawę, przytaczając pierwotne źródło publikacji poruszył serwis hacking.pl, „odezwała” się Interia. „Proszę pokazać mi, gdzie na stronie Chipa jest opublikowana informacja o dziurze w Interii” – pytał rzecznik portalu. Rzeczywiście, news został usunięty z archiwum, razem z ogłoszonymi komentarzami czytelników. Czyli – tak jakby go nie było. Kompletne wymazanie publikacji jest jednak niemożliwe. Po pierwsze – informacja wyszła w codziennym mailingu wiadomości Chipa. Wiele osób komentowało tekst na listach dyskusyjnych, na niektórych stronach pojawiły się tradycyjnie bezprawne kopie tekstu.

Obszerny zapis korespondencji i prób nawiązania kontaktu z redakcjami prasowymi (często – bez efektu), prowadzonej przez instruktora z warszawskiego Pałacu Młodzieży znajduje się na stroniehttp://www.pm.waw.pl/~jslupski/interia/. Sprawę na bieżąco śledził i komentował Reporter.pl -http://web.reporter.pl/webnews/index.php?id=3cee3d9e49ef5, korespondencję z Interią opisał też Hacking.pl -http://www.hacking.pl/news.php?id=1497. Na stronach tych znajduje się kompletna dokumentacja wydarzeń.

„Każde tuszowanie informacji podlega sankcjom prawa. Jednak w tym przypadku sprawa jest bardziej skomplikowana, dotyczy raczej obowiązku archiwizacji. W tej kwestii wcale nie jest tak przejrzyście. Dotyczy to nie tylko efemerycznych wydawnictw elektronicznych ale i papierowych – np. po 89 roku zmieniły się zasady funkcjonowanie tzw. Bibliografii zawartości czasopism i wiele informacji z lat 90-94 ni zostało zarchiwizowanych. Istnieją też naturalnie przepisy dotyczące przestępstw przeciwko archiwom. Tylko że nie każde głupstwo należy archiwizować. Podobne sytuacje zdarzają się także w innych mediach. Sam byłem ostatnio świadkiem sytuacji, kiedy to podczas realizacji programu radiowego bardzo ostro starli się przedstawiciele dwóch związków zawodowych. Po nagraniu audycji dogadali się, w związku z tym odmówili autoryzacji wypowiedzi. Zgodnie z prawem prasowym- nie można było im odmówić. Natomiast zupełnie inną kwestią jest nakłanianie do rezygnacji z publikacji, czyli stosowanie jakichś nacisków. To już przestępstwa lub wykroczenia w rodzaju: matactwa, korupcji, szantażu, najczęściej trudne do dowiedzenia lecz bez wątpienia naganne i karane przez prawo i to bynajmniej nie prasowe lecz cywilne a czasem nawet karne”– komentuje Andrzej Tadeusz Kijowski, dyrektor Centrum Monitoringu Wolności Prasy.

Kwestia zabezpieczeń usług poczty elektronicznej, którą oferują polskie portale pojawia się na polskim podwórku nie po raz pierwszy. W lutym br. Internet Standard, dzięki informacji od pragnącego pozostać anonimowym użytkownika donosił o dziurze w poczcie Onetu. W tym przypadku jednak, nasza redakcja mogła mówić o woli współpracy z Onetem. Uzyskaliśmy dostęp do odpowiednich rozmówców, po przestawieniu czarno na białym faktów nie starali się im zaprzeczyć. Tak dużo, czy tak mało?

Co najmniej kilka razy w tygodniu w serwisach informacyjnych pojawiają się ponadto informacje o lukach w zabezpieczeniach oprogramowania. Dotyczy to często tuzów takich jak Microsoft, przy których - z całym szacunkiem – Interia czy Onet to karzełki. A jednak opłaca się im publikować i upowszechniać informacje o własnych błędach. Utarło się niestety przekonanie, że portale świadczą swoje usługi darmowej poczty zupełnie charytatywnie. W związku z tym użytkownicy nie powinni raczej obrażać się na wolno działające serwisy pocztowe. A przecież portale żyją, poza dotacjami ze strony inwestorów, z reklamy. A jeśli z reklamy – to ze sprzedaży reklamodawcom zarejestrowanych użytkowników poczty.

PS. Z ostatniej chwili: Chip umieścił na stronie głównej oświadczenie w sprawie publikacji o dziurze pocztowej Interii. Co dość smutne, raczej niechlujnie („oświadzenie”). Co ciekawe - poza tytułem i krótką zajawką, trudno dowiedzieć się czegoś więcej. Po prostu link prowadzi z powrotem na stronę główną. Po 15. link zniknął.

PS 2. A po kilkunastu minutach pojawił się. Prezes Vogel Publishing napisał m.in., że sposób zdobycia informacji (wykorzystanych w publikacji z 20 maja – przyp. red.) wzbudził jego etyczne i prawne wątpliwości, dlatego podjął decyzję o wstrzymaniu publikacji notki do czasu niezbędnych wyjaśnień. Chip zamieścił też sprostowanie Interii, podpisane przez członka zarządu portalu.

Komentując artykuł, Grzegorz Wójcik napisał m.in., że „furtka” nie była wadą oprogramowania systemów kont pocztowych i miała „charakter jedynie tymczasowy” – portal usunął usterkę w ciągu trzech godzin od otrzymania informacji, a "według ustaleń Interia.pl możliwość bezprawnego dostania się na konta w portalu z wykorzystaniem stworzonego mechanizmu istniała tylko kilka dni zanim została wykryta przez autora „skryptu-wytrycha”." W związku z tym, jak stwierdza oświadczenie, nieprawdą jest, jakoby Interia nie interesowała się informacjami o luce. Na koniec Interia „zapewnia wszystkich użytkowników, ze dokłada najwyższej staranności przy obsłudze serwisów pocztowych”.

Komentarz Jana Słupskiego do oświadczenia umieszczony został na stronie http://www.pm.waw.pl/~jslupski/interia/komentarze/.