Zgłaszał luki w bezpieczeństwie strony TVP, a TVP go ignorowała

Strona głównaZgłaszał luki w bezpieczeństwie strony TVP, a TVP go ignorowała
16.01.2017 16:06
Zgłaszał luki w bezpieczeństwie strony TVP, a TVP go ignorowała
Źródło zdjęć: © PAP | Darek Delmanowicz

Telewizja Polska bardzo niedbale podchodzi do tematu bezpieczeństwa swoich stron i korzystających z nich użytkowników. Jedna z nich miała poważną lukę, która mogła doprowadzić do wycieku danych - i choć błąd został TVP zgłoszony, to pracownicy stacji nic z nim nie zrobili.

Problem dotyczy strony dystrybucja.tvp.pl i błędu typu XSS, pozwalającego na “wstrzyknięcie" kodu Javascript. Jak informuje Niebezpiecznik, dzięki temu haker mógł wykraść dane zawarte na stronie, umożliwić zainstalowanie wirusa czy manipulować wyglądem strony. Czyli mógł ją tak spreparować, by wyłudzić prywatne informacje (adresy mailowe, hasła, numery telefonów) lub też wstawić treści, które na stronie Telewizji Polskiej nie powinny się znaleźć. Akt internetowego wandalizmu na pewno negatywnie wpłynąłby na wizerunek TVP.

Poniższy GIF pokazuje, na co między innymi narażeni byli użytkownicy. Wykorzystanie luki przez oszustów mogło doprowadzić do tego, że korzystający z sewisu byliby przenoszeni na inną stronę niż chcieli wejść:

Czyli np. mogła to być strona podstawiona przez cyberoszustów.

Jak pisze Niebezpiecznik - portal zajmujący się sprawami bezpieczeństwa w sieci - TVP o błędzie została poinformowana już w sierpniu. Niestety przez ten czas “ostrzeżenia” były ignorowane, skoro luka nie została załatana. Konsekwencje mogły być poważne.

Osoba, która odkryła błąd i informowała o nim TVP, w wiadomości opublikowanej przez Niebezpiecznik pisze:

Tyle się mówi o zagrożeniach (Rosjanie), a z drugiej strony ignoruje zgłoszenia luk w domenach telewizji publicznej. Zagrożenia, które mogą prowadzić do dostępu do dziennikarzy i dalej przez ich kontakty do polityków.

Trudno się z tym nie zgodzić. O działaniu na szkodę TVP głośno było przy okazji zakłóceń programów Telewizji Polskiej, kiedy sugerowano “hybrydowy zamach stanu”. Kiedy zagrożenie było realne, ale związane ze stronami internetowymi, nikt w telewizji publicznej tematem się nie zajął.

Jeden z czytelników Niebezpiecznika napisał, że błąd już załatano. Szkoda, że dopiero teraz.

Udostępnij:
Wybrane dla Ciebie
Komentarze (0)