Strony rządowe zhakowane? Wyniki w wyszukiwarce zaskakują

Hakerzy kolejny raz zajęli się polskimi domenami rządowymi. Tym razem doszło do nietypowej akcji, która wiąże się z nietypowymi, niezbyt chlubnymi wynikami w wyszukiwarce, powiązanymi ze stroną NFZ i innymi serwisami rządowymi.

Hakerzy często celują w strony rządowe, mając przy tym różne cele i różne powodu. Najnowsze działania cyberprzestępców przynoszą dość niespodziewane efekty, między innymi w postaci bardzo nietypowych wyników w wyszukiwarkach, powiązanych między innymi ze stronami Narodowego Funduszu Zdrowia.

Jak czytamy w serwisie niebezpiecznik.pl, wpisując w wyszukiwarkę frazy, które redakcja określiła jako "niezbyt legalne", można trafić na wyniki związane z domenami rządowymi, m.in. związanymi z Polskim Centrum Akredytacji czy Narodowym Funduszem Zdrowia. Co więcej, nie odsyłają one do wyników, których można by się oczekiwać.

Dalsza część artykułu pod materiałem wideo

Jak czytamy w artykule przygotowanym przez Niebezpiecznik, po otwarciu odnośnika do domeny NFZ zostaniemy przeniesieni do strony, na której dowiemy się, że cieszymy się dużym zainteresowaniem ze strony kobiet. Ponoć cztery dziewczyny chcą się z nami spotkać. Wynik powiązany z Polskim Centrum Akredytacji jest o wiele bardziej bezpośredni i raczej nie trzeba dodawać, jakiego charakteru treści są tam prezentowane. Kolejną polską stroną, powiązaną z niezbyt chlubnymi wynikami, jest serwis lublin.eu, na którym również możemy natknąć się na fałszywe anonse samotnych kobiet.

Jak czytamy w Niebezpieczniku, efekty takie przyniosło nie wykorzystanie licznych nadużyć na rządowych domenach i serwerach, ale wykorzystanie pewnego skryptu w CMS-ie Edito, który zastosowany został do obsługi wszystkich wymienionych serwisów. Jak dowiedzieli się dziennikarze, za złośliwe przekierowania odpowiada skrypt redir.php.

Prawdopodobnie doszło do wykorzystania luki w CMS-ie lub do przejęcia uprawnień użytkowników, którzy mają dostęp do zarządzania określonymi serwisami. Trzecia możliwość to wykorzystanie błędu "open redirect", czyli wykorzystanie dowolnego adresu jako parametru skryptu, który realizuje przekierowania. Możliwe, że to właśnie ten błąd został wykorzystany, w celu poprawy pozycjonowania wybranych domen. Sprawę skomentował Krzysztof Kawalec Head IT/CTO odpowiedzialnego za CMS-a Edito.

- [Sytuacja] Dotyczy nieodpowiedniego (zewnętrznego) wykorzystania błędu funkcjonalności przekierowań w systemie. Jest to podatność, która wywoływana jest z zewnątrz systemu, dlatego nie możemy mówić o ataku jako takim. Pragniemy wyjaśnić, że nie doszło do włamania na serwery, czy do panelu Edito CMS, lecz został wykorzystany plik "redir.php" do przekierowania na złośliwe strony. Ten plik występował w niewielkim odsetku projektów, które wymagały nietypowej obsługi przekierowań i związany był z modułem reklamowym.