Strona internetowa loteriaparagonowa.gov.pl przygotowana jeszcze kilka lat temu przez Ministerstwo Finansów miała na celu edukację w zakresie paragonów fiskalnych i wynikających z nich praw konsumenta zakupionego towaru.

Wczoraj domena rządowa loteriaparagonowa.gov.pl została zhackowana, prawdopodobnie przez muzułmańską grupę przestępczą (lub grupę podszywającą się pod muzułmanów) — wyszukiwarka Google zindeksowała taki tekst:

Gov hacked
Tytuł strony według Google Translator mówi coś o tekście zaczerpniętym z „Proza pornograficzna rosyjskiej książki”.
Tłumaczenie w Google Translator.
Tłumaczenie w Google Translator.

Jeszcze przed podmianą loteriaparagonowa.gov.pl wyglądała tak: https://web.archive.org/web/20170628201900/https://loteriaparagonowa.gov.pl/

Od 31 marca 2017 roku nikt nie przejmował się tym, co zostało na stronie w domenie gov.pl i że może zostać wykorzystane przeciwko obywatelom Polski. Niezaktualizowane pliki strony czy stare wersje PHP mogły być użyte do znalezienia luki i podmianę plików witryny. W skrajnym scenariuszu atakujący mógł przeprowadzić skuteczne ataki z podmienionymi informacjami na stronie loteriaparagonowa.gov.pl, ale wybrał inaczej — wstawił obrzydliwe zdjęcia pornograficzne:

loteriaparagonowa.gov.pl
W obecnej chwili strona została już wyłączona przez administratorów. Szczegóły dla dorosłych są dostępne na stronie hxxps://urlscan.io/result/66ed1b87-054e-41d2-bc67-9b65da1ce9bc/compare

Pornografia to plaga XXI wieku. Osoby, które chcą się przed tym chronić, mogą:

  • Poprosić swojego operatora dostarczającego Internet, aby blokował strony o tej tematyce.
  • Zmienić wpisy serwerów DNS w konfiguracji routera. W tym poradniku zostało wyjaśnione, jak to zrobić.
  • Wykorzystać CyberTarczę od Orange — mechanizm wykrywania zagrożeń w sieci Orange (trzeba wykupić dowolną usługę internetu Orange).

Aktualizacja 05.03.2019

Okazuje się, że nie doszło do podmiany plików na serwerze. Administrator domeny rządowej podobno usunął konto CloudFlare po zamknięciu projektu w 2017 roku, ale nie zmienił adresów DNS oddelegowanych do usługodawcy.

Sztuczka polegała na tym, że strona WWW była wyłączona, ale DNS-y dla domeny ciągle zawierały wpisy kierujące do CloudFlare. Kto pierwszy ten lepszy — przestępca podpiął domenę do swojego konta na CF i zmienił rekord A dla domeny. Przekierował adres serwera WWW na własny hosting, który zawierał stronę z materiałami pornograficznymi.

AUTOR:

Adrian Ścibor

Podziel się

Komentarze

Korsarz wt., 05-03-2019 - 11:33

"Niezaktualizowane pliki strony czy stare wersje PHP mogły być użyte do znalezienia luki i podmianę plików witryny."

Nie podmieniono żadnych plików, bo serwer loterii został wyłączony. Ale nie zauważono jednak, że adresy DNS są dalej rozgłaszane. Ktoś przejął nad tym kontrolę i zmienił adres docelowy serwera na 188.165.242.45. Opisane jest to na niebezpieczniku: https://niebezpiecznik.pl/post/rzadowy-serwis-loterii-paragonowej-serwu…

Marek wt., 05-03-2019 - 15:22

Jak można było dopuścić do takiego incydentu. Czy ktokolwiek zostanie ukarany? Kto tam zajmuje się tymi rządowymi serwerami.

Dodaj komentarz