Zgłaszał luki w bezpieczeństwie strony TVP, a TVP go ignorowała

Telewizja Polska bardzo niedbale podchodzi do tematu bezpieczeństwa swoich stron i korzystających z nich użytkowników. Jedna z nich miała poważną lukę, która mogła doprowadzić do wycieku danych - i choć błąd został TVP zgłoszony, to pracownicy stacji nic z nim nie zrobili.

TVP
Źródło zdjęć: © PAP | Darek Delmanowicz
Adam Bednarek
Adam Bednarek

Problem dotyczy strony dystrybucja.tvp.pl i błędu typu XSS, pozwalającego na “wstrzyknięcie" kodu Javascript. Jak informuje Niebezpiecznik, dzięki temu haker mógł wykraść dane zawarte na stronie, umożliwić zainstalowanie wirusa czy manipulować wyglądem strony. Czyli mógł ją tak spreparować, by wyłudzić prywatne informacje (adresy mailowe, hasła, numery telefonów) lub też wstawić treści, które na stronie Telewizji Polskiej nie powinny się znaleźć. Akt internetowego wandalizmu na pewno negatywnie wpłynąłby na wizerunek TVP.

Poniższy GIF pokazuje, na co między innymi narażeni byli użytkownicy. Wykorzystanie luki przez oszustów mogło doprowadzić do tego, że korzystający z sewisu byliby przenoszeni na inną stronę niż chcieli wejść:

Czyli np. mogła to być strona podstawiona przez cyberoszustów.

Jak pisze Niebezpiecznik - portal zajmujący się sprawami bezpieczeństwa w sieci - TVP o błędzie została poinformowana już w sierpniu. Niestety przez ten czas “ostrzeżenia” były ignorowane, skoro luka nie została załatana. Konsekwencje mogły być poważne.

Osoba, która odkryła błąd i informowała o nim TVP, w wiadomości opublikowanej przez Niebezpiecznik pisze:

Tyle się mówi o zagrożeniach (Rosjanie), a z drugiej strony ignoruje zgłoszenia luk w domenach telewizji publicznej. Zagrożenia, które mogą prowadzić do dostępu do dziennikarzy i dalej przez ich kontakty do polityków.

Trudno się z tym nie zgodzić. O działaniu na szkodę TVP głośno było przy okazji zakłóceń programów Telewizji Polskiej, kiedy sugerowano “hybrydowy zamach stanu”. Kiedy zagrożenie było realne, ale związane ze stronami internetowymi, nikt w telewizji publicznej tematem się nie zajął.

Jeden z czytelników Niebezpiecznika napisał, że błąd już załatano. Szkoda, że dopiero teraz.

Wybrane dla Ciebie
Nie są w NATO. Pomogą Ukrainie finansować amerykańską broń
Nie są w NATO. Pomogą Ukrainie finansować amerykańską broń
Rosyjska broń w Wenezueli. Najmocniejsza karta w talii prezydenta Maduro
Rosyjska broń w Wenezueli. Najmocniejsza karta w talii prezydenta Maduro
Ujawnili tajne dokumenty. Rosja wspiera tajemniczego klienta
Ujawnili tajne dokumenty. Rosja wspiera tajemniczego klienta
Lecą na dwa fronty. Kupują od Amerykanów, produkują dla Europy
Lecą na dwa fronty. Kupują od Amerykanów, produkują dla Europy
Długo stały w magazynach. W końcu Ukraińcy je pokazali
Długo stały w magazynach. W końcu Ukraińcy je pokazali
Tajemniczy grzyb z Czarnobyla. "Żywi się" promieniowaniem
Tajemniczy grzyb z Czarnobyla. "Żywi się" promieniowaniem
Eksplodowała chwilę po starcie. Rosjanie strzelili sami w siebie
Eksplodowała chwilę po starcie. Rosjanie strzelili sami w siebie
Spojrzał w niebo. Uchwycił niedostrzegalne zjawisko
Spojrzał w niebo. Uchwycił niedostrzegalne zjawisko
Największy taki zakup. Polska zawarła kontrakt z Amerykanami
Największy taki zakup. Polska zawarła kontrakt z Amerykanami
Chcieli wystraszyć Zachód. Rosyjska rakieta spadła na ziemię
Chcieli wystraszyć Zachód. Rosyjska rakieta spadła na ziemię
Rozważają rezygnację z F-35. USA coraz mocniej się niecierpliwią
Rozważają rezygnację z F-35. USA coraz mocniej się niecierpliwią
Polska zamówiła więcej Herculesów. To pancerne warsztaty dla Abramsów
Polska zamówiła więcej Herculesów. To pancerne warsztaty dla Abramsów
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀