Így törhették volna fel a Prezit

Fotó: Fotó: MTI/Ujvári Sándor / Fotó: MTI/Ujvári Sándor

-

Súlyos sebezhetőségre hívta fel egy hacker a Prezi programozóinak figyelmét decemberben. A cég javította a hibát, és mindenki okulására nyilvánosságra is hozták a problémát.


Egy jól megírt kiberbiztonsági nyomozás érdekesebb, mint egy jó krimi. Zsellér Atilla prezis fejlesztő blogbejegyzése például olyan, mint egy Hammett-novella. A sztori egy rejtélyes idegennel kezdődik - a Prezi dicsőségfaláról kiderül azért, hogy Nicolas Grégoire-ról van szó -, aki még tavaly írt levelet a startup fejlesztőinek. Arra hívta fel a figyelmet, hogy a prezentációk letöltésekor kritikus fájlokat is meg lehet szerezni. Ha a felhasználó nem egy netes képet linkel be a dokumentumába, hanem például a szerver jelszavait tartalmazó fájlt, akkor azt is megszerezhetné. A hiba javítása után a fejlesztők átmazsolázták a szolgáltatás kódját, hátha máshol is elkövették ugyanezt a hibát, a végén pedig elutalták a hackernek a hibáért járó „vérdíjat”.


A francia hacker második levelére egészen decemberig kellett várni. Ekkor már nem is közvetlenül küldte az információt, hanem előtte elkérte a fejlesztők emailezéshez használt titkosítókulcsát. A hiba még kínosabb volt: a hacker, az Amazon felhőjében üzemeltetett szerverei segítségével, elért olyan adatokat is, amikről a prezisek azt gondolták, hogy jól el vannak rejtve. Ezzel a felfedezéssel Grégoire valószínűleg a második vérdíjat is begyűjtötte a startuptól. A két súlyos sebezhetőséget negyedévvel később, jóval a hibák befoltozása után ismertette a Prezi. A bejegyzéssel megvárták, hogy a francia hacker előadhassa az Insomnihack konferencián, hogyan talált két nagy értékű lyukat a Prezi rendszerében. A blogbejegyzés szerint azóta a második problémát is megoldották, a fejlesztők pedig elkezdték újranézni a Drótot.


Mi van a háttérben?

A Prezi tanmeséje nem csak arról szól, hogy minden szoftverben van hiba, vagy hogy több szem többet lát. A sztori a felelős nyilvánosságrahozatal (responsible disclosure) tökéletes példája, aminek során a hacker először csak az érintettnek szól a felfedezéséről, abban bízva, hogy az a felhasználók érdekében azonnal javítja a programot. Grégorie és a Prezi esetében a módszer működött. Voltak azonban olyan biztonsági botrányok, ahol hónapok óta ismert, nem javított hibák miatt fértek hozzá a támadók fontos adatokhoz. Illetve arra is volt példa - legutoljára a Szellemi Tulajdon Nemzeti Hivatalának ügyében  - amikor a rossz hír hozóját vádolták meg. Erre válaszul találták ki a hackerek a teljes publikálás módszerét, ami gyakorlatilag a nyilvános megszégyenítés. Közszemlére teszik a sebezhetőséget, az áldozat pedig kénytelen minél gyorsabban javítani.