Porno na rządowej stronie. Przypadek?

W Narodowej Loterii Paragonowej można było brać udział od października 2015 do końca września 2016 r. Każdy paragon fiskalny o wartości powyżej 10 zł należało zarejestrować na specjalnej stronie jako los, aby co miesiąc mieć szansę na wygranie nagrody. Mógł to być samochód, laptop lub tablet.

Specjaliści z serwisu Zaufana Trzecia Strona poinformowali, że włamanie na serwer nie było możliwe. Prawdopodobnie właściciele przestali opłacać usługę Cloudflare, do której podpięta była strona internetowa. Przestępcy skorzystali z przekierowania witryny loterii na stronę porno. Hakerzy wykorzystali to, że w sieci pozostał adres rządowej strony, ale była ona nieaktywna.

Biuro Komunikacji i Promocji ministerstwa przekazało informacje Gazecie.pl z których wynika, że strona loterii nie jest już w posiadaniu resortu:

„Serwis Loterii Paragonowej istniał od 2015 roku do 2017 r. W marcu 2018 roku dane oraz wszystkie kody wchodzące w skład wspomnianej usługi zostały usunięte z serwerów firmy świadczącej usługi hostingowe. Domena została jednak pozostawiona z przekierowaniem na serwery DNS dostawcy usług DNS (podwykonawca firmy hostingowej). Wykorzystanie usługi DNS było integralną częścią rozwiązania dostarczonego przez firmę hostingową i zapewniało wysoką wydajność i skalowalność rozwiązania dla Loterii Paragonowej.

W związku z tym nie jest prawdą, że doszło do przejęcia przez hackerów strony Ministerstwa Finansów. Strona loteriaparagonowa.gov.pl nie istniała w tym momencie i została już wcześniej usunięta z zewnętrznych serwerów firmy hostingowej. Niestety w serwisie podwykonawcy firmy hostingowej (dostawca usług DNS) doszło do podmiany adresu kierującego do serwerów publikujących treści nieautoryzowane przez MF dla strony loteriaparagonowa.gov.pl.”

Bartosz Loba, rzecznik prasowy NASK, dodał: „W efekcie wspólnych działań NASK i CERT.GOV dość szybko udało się zidentyfikować problem i odblokować usługę.”.

Niebezpiecznik wyjaśnia, jak mogło dojść do takiego ataku:

Zgodnie z deklaracją byłej firmy odpowiedzialnej za hosting i obsługę serwera, serwer został w 2017 roku wyłączony. Niestety, Ministerstwo “ubijając” serwis nie zwróciło uwagi na dwie rzeczy: to, że domena wykupiona jest jeszcze na kilka lat do przodu (wciąż jest i będzie aktywna) i że po stronie rejestratora wciąż rozgłasza DNS-y firmy CloudFlare.

Przekierowania domeny można więc było dokonać logując się na konto Ministerstwa Finansów na Cloudflare (np. zgadując/pozyskując hasło). Ale ponoć Ministerstwo konto skasowało. I tu robi się ciekawie, bo o ile konto na Cloudflare dla loterii zostało skasowane, to wszystko ponieważ serwery DNS nie zostały po stronie rejestratora zmienione na niecloudflare’owe, to ktoś mógł skorzystać z bardzo prostego przepisu na atak:

• Założył swoje własne konto na Cloudflare.
• Zaczął do niego dodawać domenę loterii paragonowej
• …i domena została ona dodana z powodzeniem, bo po stronie rejestratora domeny wciąż były ustawione “stare” CloudFlare’owe DNS-y, a Cloudflare nie weryfikuje “dodania” domeny w inny sposób niż sprawdzając czy wskazuje ona na DNS-y z puli Cloudflare’a.

Po takim ruchu, ktoś mógł przekierować domenę na dowolny adres IP — z czego skorzystał.

Źródło: https://niebezpiecznik.pl/post/rzadowy-serwis-loterii-paragonowej-serwuje-porno-w-domenie-gov-pl/,
http://next.gazeta.pl/next/7,151003,24517536,twarde-porno-na-oficjalnej-rzadowej-stronie-wszystko-przez.html