Értesítés weboldal biztonsági résről: bizalmas és fontos!

Még június végén kaptam a fenti tárggyal egy e-mailt egy „Open Bug Bounty” nevű csapattól, amely szerint sérülékenység van a weboldalamon, amelyet 3 hónapig nem hoznak nyilvánosságra.

Miért volt gyanús a levél?

Így nézett ki a levél:

Egyrészt mert nem szokott biztonsági rés lenni a weboldalaimon, hiszen a WordPress karbantartás alapelveinek megfelelően kezelem őket.

Másrészt olyan e-mail címre küldték, amely nincs nyilvánosan kiírva – ebből sejthető, hogy valamilyen robot küldte, és nem valós személy. Hiszen az érintett domain elé tenni az info@-ot, ahelyett, hogy a több helyen fellelhető e-mail címre küldjön valaki üzenet – nem emberi viselkedésre vall.

Mit tettem?

Gondoltam valamilyen generátorral küldték az üzenetet, de azért kíváncsi voltam, hogy mit akarnak? Pénzért átnézni a weboldalt? Egyéb dolgot eladni?

Ezért írtam a nekik, hogy mégis milyen hibát látnak a weboldalon pontosan? Válasz nem érkezett, így türelemmel kivártam 3 hónapot, amikor közzétették a „hibát”. A hibáról szóló teljes képernyőkép ide kattintva – új ablakban – megtekinthető.

Sérülékeny volt a weboldalam?

Természetesen nem. Egyszerűen egy minta wp-config.php fájl (ami egyébként ellenőrzés nélkül tényleg hasonlít egy valós konfigurációs fájlhoz) miatt küldték a sablonlevelet.

Az indiai „bejelentő” (vagy robot, nem tudom, hogy valós személy-e) gondolkodás nélkül szórta fel az oldalakat a saját oldalukra, és küldött emellett párhuzamosan leveleket a weboldal tulajdonosoknak.

Miért írtam meg ezt a cikket?

Azért, hogy a weboldal tulajdonosokat megnyugtassam: azért, mert e-mailt kapunk egy ismeretlentől (pláne külfölditől), még nem jelenti azt, hogy igaz amit ír. Nem kell aggódni a weboldalért, ha a karbantartásokat nem spóroljuk meg.

Természetesen ha a tárhelyszolgáltatója küld hasonló levelet, azzal minden esetben foglalkozni kell!