Blog (9)
Komentarze (97)
Recenzje (0)

Kiepski początek roku dla Wykop.pl - przejęto tysiące kolejnych kont

Strona główna@neron86xKiepski początek roku dla Wykop.pl - przejęto tysiące kolejnych kont
02.01.2022 22:20

Od czterech dni nierozpoznany dotąd hacker postuje z przejętych kont tysięcy użytkowników serwisu Wykop.pl obraźliwe wobec administracji i moderacji wpisy. Włodarze Wykopu początkowo bagatelizowali problem, potem jednak zabrali się za blokowanie zaatakowanych kont oraz ich weryfikację.

O dziwo, żadne ze znalezisk poruszających problem bezpieczeństwa serwisu (o których szerzej w dalszej części artykułu), jak dotąd nie doczekało się tzw. czerwonych belek (usunięcie niewygodnych dla administracji znalezisk i opatrzenie ich stosownym napisem na czerwonym polu).

Techniczne możliwości włamania na serwis
Źródło zdjęć: © wykop.pl
Techniczne możliwości włamania na serwis
Znalezisko sprzed kilku dni, które dalej jest aktywne
Znalezisko sprzed kilku dni, które dalej jest aktywne

O włamaniu na serwis i przejmowaniu kont w maju 2021 roku

Wiosną 2021 roku na Wykopie pojawił się tajemniczy wpis sugerujący możliwość przejęcia setek, jak nie tysięcy nieużywanych kont użytkowników. Chwilę później wykopowy Mikroblog zaczął być spamowany wpisami i obrazkami, memami, zdjęciami otyłego murzyna oraz innymi grafikami wymierzonymi we właścicieli i pracowników Wykopu (pojawiło się na przykład zdjęcie administratorki, Anny Steckiej przerobione w obraźliwy sposób). Administracja zdementowała wtedy wieści o włamaniu do serwisu, a jej zdaniem konta przejęte zostały na skutek wycieku danych z innych serwisów (cokolwiek to znaczy).

Historia lubi się powtarzać. Sylwester 2021/2022

W ostatnich dniach minionego roku haker lub grupa hakerów ponownie zaatakowała Wykop. 30 i 31 grudnia nieznani użytkownicy spamowali identycznie brzmiącymi wpisami dziesiątki popularnych tagów. Proceder ten trwał również 2 stycznia 2022 roku, w dniu pisania tego tekstu - prezentowane zrzuty ekranu pochodzą sprzed 3-4 dni. Są również dyskusje użytkowników, którzy zauważyli problem.

178387
178386
178396
178389
178390

Poniżej natomiast znajdują się wybrane zrzuty ekranowe z okresu noworocznego oraz film pokazujący skalę problemu.

178409
178408
178407
178406
178402

Jak donoszą użytkownicy, niedawna aktywność moderacji nie polegała jedynie na banowaniu przejętych kont do wyjaśnienia oraz usuwaniu wpisów, zablokowani zostali również niektórzy użytkownicy, którzy poruszyli ten problem.

178413
178414
178411
178412

Tego typu masowa aktywność nieznanych osób nie mogła pozostać niezauważona, zwłaszcza, że sposób działania administracji, moderacji oraz jakość pracy serwisu od strony technicznej pozostawia wiele do życzenia. Oliwy do ognia dolewa również sama administracja ignorując oczywiste zaniedbania, w tym również pracę wykopowych informatyków. Dwa dni temu poinformował o tym przemyslaw-maczka.

W niedzielę Kardom stworzył znalezisko, w którym zauważył, że włamano się również na konto znanego użytkownika WyprawyLeona. Wykopane zostało ono błyskawicznie na stronę główną. Do niego odniósł się również mirek, którego znalezisko dotyczyło oraz powiedział, że do logowania się na Wykop używał funkcjonalności Facebooka.

Kolejne już znalezisko o włamaniach na serwis
Źródło zdjęć: © wykop.pl
Kolejne już znalezisko o włamaniach na serwis
Odpowiedź WyprawLeona
Źródło zdjęć: © wykop.pl
Odpowiedź WyprawLeona

Serwisy CDN potencjalnym workiem na materiały pedofilskie

Problemy z przejętymi kontami to nie jedyna ze spraw zaprzątających głowę administracji w okresie noworocznym. W pierwszy dzień 2022 roku jeden z użytkowników zaobserwował też możliwość hostowania ukrytych zdjęć za pomocą niewinnie wyglądających obrazków. Jego zdaniem, wystarczyło samo przesłanie odpowiednio spreparowanego GIFa za pomocą prywatnej wiadomości lub dołączenie go do wpisu, który wystarczyło później usunąć.

Wpis na Mikroblogu informujący o możliwości hostowania przez Wykop zabronionych treści
Źródło zdjęć: © wykop.pl
Wpis na Mikroblogu informujący o możliwości hostowania przez Wykop zabronionych treści

Obrazek miał być ukrytym archiwum z dołączonym kodem bajtowym odpowiedniego formatu graficznego. Użycie rozszerzenia .gif lub .jpg dodatkowo do kasowało. Taki obrazek wystarczyło zapisać z zewnętrznego serwisu CDN, z którego usług korzysta Wykop oraz rozpakować, np. za pomocą konsoli.

TeenShey2 sporządził wpis, niedługo potem został skasowany przez administrację. Powstało również specjalne znalezisko, autorstwa Jariii, które szybko zostało wykopane na stronę główną serwisu. Nie wiadomo w stu procentach, czy tej metody użyto kiedykolwiek celem dystrybucji pornografii dziecięcej. Z oczywistych względów użytkownicy, którzy o tym problemie poinformowali, nie mogli tego uwiarygodnić odpowiednimi screenami.  

Znalezisko na temat możliwości hostowania zabronionych treści
Źródło zdjęć: © wykop.pl
Znalezisko na temat możliwości hostowania zabronionych treści
Plik tekstowy ukryty w pliku .gif
Źródło zdjęć: © wykop.pl
Plik tekstowy ukryty w pliku .gif

Znalezisko to usunięte zostało w niedzielę, a załączony poniżej napis odnosi się także do masowego przejmowania kont i spamowania serwisu.

Zdementowanie sprawy przez administrację
Źródło zdjęć: © wykop.pl
Zdementowanie sprawy przez administrację

Kiedy zobaczymy nowy Wykop?

Problemem Wykopu jest kiepska jakość pracy osób, które nim zarządzają. Kod strony obfituje w błędy, które od dawna zgłaszali użytkownicy (na przykład zapętlanie się wpisów na Mikroblogu).

W sierpniu 2021 roku na portalu SpidersWeb w artykule Sylwii Czubkowskiej i Jakuba Wątora pt. Wykop, hejt i zamawianie zlewów. Tak się bawi największy polski serwis społecznościowy zapowiedziano przed końcem roku upublicznienie nowej wersji serwisu Wykop.pl:

Do końca tego roku Wykop ma przejść potężną rewolucję — przepisana jest już każda linijka kodu, mechanika, wygląd, technologia i automatyka działań zostaną zupełnie zmienione. Jak zapowiadają przedstawiciele serwisu, Wykop będzie nie do poznania — na nowo postawione zostały aplikacje, cały serwis oraz API. Ma to być nie tylko zmiana technologiczna, ale też marketingowa i wizerunkowa. Obecnie trwają testy bezpieczeństwa. Jedną ze zmian ma być zmiana progu wejścia dla niektórych treści na stronę główną. Szefowie serwisu nie chcą jednak zdradzić więcej szczegółów.

Nadal jednak aktywne jest stare oprogramowanie napędzające Wykop, które - jak zobaczyliśmy wielokrotnie, nie jest pozbawione wad, szczególnie luk bezpieczeństwa...

Komentarze (19)