Értesítés weboldal biztonsági résről: bizalmas és fontos!

Még június végén kaptam a fenti tárggyal egy e-mailt egy “Open Bug Bounty” nevű csapattól, amely szerint sérülékenység van a weboldalamon, amelyet 3 hónapig nem hoznak nyilvánosságra.

Miért volt gyanús a levél?

Így nézett ki a levél:

Egyrészt mert nem szokott biztonsági rés lenni a weboldalaimon, hiszen a WordPress karbantartás alapelveinek megfelelően kezelem őket.

Másrészt olyan e-mail címre küldték, amely nincs nyilvánosan kiírva – ebből sejthető, hogy valamilyen robot küldte, és nem valós személy. Hiszen az érintett domain elé tenni az info@-ot, ahelyett, hogy a több helyen fellelhető e-mail címre küldjön valaki üzenet – nem emberi viselkedésre vall.

Mit tettem?

Gondoltam valamilyen generátorral küldték az üzenetet, de azért kíváncsi voltam, hogy mit akarnak? Pénzért átnézni a weboldalt? Egyéb dolgot eladni?

Ezért írtam a nekik, hogy mégis milyen hibát látnak a weboldalon pontosan? Válasz nem érkezett, így türelemmel kivártam 3 hónapot, amikor közzétették a “hibát”. A hibáról szóló teljes képernyőkép ide kattintva – új ablakban – megtekinthető.

Sérülékeny volt a weboldalam?

Természetesen nem. Egyszerűen egy minta wp-config.php fájl (ami egyébként ellenőrzés nélkül tényleg hasonlít egy valós konfigurációs fájlhoz) miatt küldték a sablonlevelet.

Az indiai “bejelentő” (vagy robot, nem tudom, hogy valós személy-e) gondolkodás nélkül szórta fel az oldalakat a saját oldalukra, és küldött emellett párhuzamosan leveleket a weboldal tulajdonosoknak.

Miért írtam meg ezt a cikket?

Azért, hogy a weboldal tulajdonosokat megnyugtassam: azért, mert e-mailt kapunk egy ismeretlentől (pláne külfölditől), még nem jelenti azt, hogy igaz amit ír. Nem kell aggódni a weboldalért, ha a karbantartásokat nem spóroljuk meg.

Természetesen ha a tárhelyszolgáltatója küld hasonló levelet, azzal minden esetben foglalkozni kell!

Cikkértesítő

Ha nem szeretne lemaradni az új cikkekről, akkor iratkozzon fel az értesítőre!

Szólj hozzá!

*

code

A honlap cookie-kat használ. Részletek

A hatályos jogszabályok alapján kötelező tájékoztatni a látogatókat, hogy a weboldal ún. cookie-kat használ és tárol a számítógépén. Ha ezt nem szeretné, akkor a böngészője megfelelő beállításait használva tiltsa le a cookie-k tárolását, vagy zárja be a weboldalt. Mik azok a cookie-k? Hogyan tudja tiltani a tárolásukat? Hogyan kezelem a személyes adatokat? Mindenre választ ad a részletes adatvédelmi és cookie tájékoztatóm.

Bezárás