Autor: .cCuMiNn. | 25.7.2011 |
Ze strany Centrum holdings již došlo k nápravě a uvedené postupy nejsou nadále funkční.
V takových fotoalbech pak uchováváte důvěrné nebo intimní fotografie, jejichž zveřejnění by vám radost určitě neudělalo. Předpokládáte totiž, že o zamčené fotografie je postaráno stejně dobře, jako by byly uschovány v nedobytném sejfu. Opak je ovšem pravdou. Poskytovatel služby fotoalba.centrum.cz (Centrum Holdings) totiž fotografie ze zamčených fotoalb vystavuje na svých serverech, kde si je může kdokoliv bez sebemenších problémů, prohlédnout.
Ač je to k neuvěření, skutečně si bez překonávání jakýchkoliv překážek může kdokoliv prohlížet fotografie z vašeho zamčeného alba bez znalosti odpovídajícího přístupového hesla. Když se totiž podíváte do zdrojového kódu webové stránky, která zobrazuje určitou fotografii například http://fotoalba.centrum.cz/photo.php?pid=24354758, můžete si všimnout části HTML kódu, který je zodpovědný za její zobrazení:
Z atributu src můžeme po pár testovacích pokusech vyčíst následující :
Nyní se zaměříme na zamčený obrázek, který jsem do fotoalba nahrál http://fotoalba.centrum.cz/photo.php?pid=24354676
a pokusíme se jej načíst běžným způsobem. Při pokusu o jeho zobrazení tímto odkazem budeme vyzváni k zadání přístupového hesla.
Zkusíme tedy odhadnout adresu, na které je obrázek skutečně uložen:
Použijeme ID fotografie a postupně projdeme adresáře img1-30, dokud se nám kýžený obrázek nezobrazí.
http://img.fotoalba.centrum.cz/img23/4676/24354676_4.jpg
Vidíte, že ač je obrázek umístěn v zamčeném albu, není přímí přístup k němu žádným způsobem zabezpečen a vaše soukromé fotografie si tak může prohlížet opravdu kdokoliv. Není také problém vytvořit prohlížeč obrázků podobný tomuto.
Pokud by se kdokoliv pokoušel získat přístup k vašim fotografiím uloženým v zamčeném albu a znal by pouze název vašeho účtu, mohl by si například nechat zobrazit seznam vašich alb. Pokud totiž máte alespoň jednu fotografii uloženou ve veřejném albu, pak často stačí, aby si zobrazil první fotografii z tohoto alba a začal fotografie procházet pomocí tlačítka "Další fotka". Stává se, že některá z následujících fotografií se nachází právě v zamčeném albu, což vyvolá žádost o zadání hesla, ale také zobrazení ID této zamčené fotografie. Ostatní fotografie ve stejném albu by pak mohly být nalezeny snadno pomocí inkrementování hodnoty ID.
Hledání zamčených fotoalb případným útočníkům také usnadňuje jejich úplný seznam, který je dostupný pod tímto odkazem:
http://fotoalba.centrum.cz/albums.php?uid=0&sort=1&page=1&onpage=60.
Celý postup zachycuje následující video:
Bylo by dobré, kdyby si uživatelé konečně uvědomili, že do prostor internetu by měli uploadovat pouze taková data, jejichž zveřejnění jim nemůže uškodit. Pokud totiž uloží citlivá data na servery podobné tomuto, nemůžou se pak divit tomu, že například své intimní fotografie později objeví i na jiných místech v internetu.
Společnost Centrum holdings byla na uvedené skutečnosti upozorněna ve chvíli zveřejnění tohoto článku. Uživatele zmíněné služby totiž vyzívám, aby si rozmysleli, zda své důvěrné fotografie na uvedeném serveru ponechají, nebo zda je raději odstraní a vyhnou se tím jejich případnému zneužití. Mnou uvedený postup pro získání fotografií ze zamčených fotoalb není totiž podle informací, které se ke mě dostaly, jediným funkčním postupem.
Update 25.7.2011 12:40
Podle informací, které se ke mě po zveřejnění tohoto článku dostaly, byly postupy, jak grabovat fotografie z fotoalba.centrum.cz veřejně dostupné na serveru Lapiduch.cz již během minulého roku. Postup, který byl pro získávání hesel použit, využívá pro zobrazení fotografií tento link:
http://fotoalba.centrum.cz/img2.php?id=xxxxxxxx
K linku je možné přidat také parametr size definující velikost obrázku (1-6). Tento postup oproti výše uvedenému nepotřebuje procházet adresáře img1-30, aby získal cílenou fotografii. Díky tomu je možné vytvořit jednoduchý prohlížeč (Chyba již napravena smazáním skriptu img2.php. Uvedený prohlížeč již proto není funkční.), který bude lehce zobrazovat fotografie po tisícových dávkách od zadaného ID.Update 25.7.2011 16:30
Došlo k odstranění skriptu img2.php ze serveru fotoalba.centrum.cz. Díky tomu je již zabráněno zneužívání druhého z uvedených postupů.
Update 1.8.2011
První uvedený postup je již ze strany Centrumu také vyřešen. Fotografie zamčených fotoalb dostaly náhodný suffix.
Obrázek, který byl dříve dostupný na http://img.fotoalba.centrum.cz/img23/4676/24354676_4.jpg, nyní najdeme pod novým názvem http://img.fotoalba.centrum.cz/img23/4676/24354676_2_ciqjju.jpg, který již není reálně možné odhadnout.