Grono.net przeprasza za dziury - problemy usunięte

Błąd umożliwiający przejęcie hasła użytkownika w Grono.net został poprawiony, radykalne działania powinny też rozwiązać problem profili gronowiczów widocznych w wynikach wyszukiwania Google. Jednoczesnie zarząd serwisu opublikował wyjasnioenie, w którym przeprasza swoich użytkowników.

Problemy, o których informowaliśmy wczoraj i przedwczoraj w znacznej mierze zostały naprawione. Wyjaśnijmy to dokładniej: użytkownikom Grono.net nie grozi już przejęcie hasła, a w konsekwencji - kradzież konta. Usterka w kodzie serwisu, umożliwiająca atak XSS (Cross Site Scripting) została usunięta wczoraj po południu.

Na czym polegał błąd? Podobnie jak w przypadku usterki w kodzie serwisu blogowego blox.pl (Dziurawy Blox, Dziurawy Blox - ciąg dalszy), odpowiednio spreparowany odnośnik otwierał stronę Grono.net z częściowo zmienioną zawartością - dane wpisane w polu logowania mogły zostać wysłane na serwer włamywacza, możliwa była także kradzież ciasteczek (cookies) zapisanych na komputerze użytkownika.

Błąd w kodzie Grono.net umożliwiał przejęcie hasła użytkownika, wstrzyknięty przez włamywacza kod mógł także pobrać zwartość ciasteczek (przykładowe przejęcie cookies widoczne jest na rysunku). Usterka została usunięta.

Błąd w kodzie Grono.net umożliwiał przejęcie hasła użytkownika, wstrzyknięty przez włamywacza kod mógł także pobrać zwartość ciasteczek (przykładowe przejęcie cookies widoczne jest na rysunku). Usterka została usunięta.

Przedstawiamy też oficjalne stanowisko Grono.net dotyczące problemu profili użytkowników widocznych w wynikach wyszukiwania Google. Komunikat warto przeczytać uważnie, znajduje się tam bowiem niezwykle ciekawa informacja o całkowitym (choć tylko czasowym) usunięciu informacji o Grono.net z wyszukiwarki Google. To krok radykalny, ale powinien okazać się skuteczny. Jak sprawdziliśmy, profile użytkowników Grono.net znikły z wyników wyszukiwania Google, a poszukiwanie Grono.net w Google daje tylko kilka wyników, prowadzących na główną stronę serwisu.

Komunikat zarządu grono.net

Z przykrością informujemy, iż w efekcie błędnej konfiguracji robota indeksującego w wyszukiwarce internetowej Google pojawiły się informacje z serwisu grono.net nie przeznaczone do indeksowania.

Zarząd firmy pragnie przeprosić użytkowników za zaistniałą sytuację i zapewnić, że pojawienie się wspomnianych danych w serwisie Google nigdy nie było intencją grono.net. Zapewniamy, iż konfiguracja serwisu grono.net pod kątem indeksowania zawartości została przeprowadzona zgodnie z wytycznymi dostarczonymi naszej firmie przez firmę Google.

Jednocześnie informujemy, że niezwłocznie po otrzymaniu informacji o nieprawidłowościach podjęliśmy kroki, dzięki którym informacje zostaną usunięte w trybie ekspresowym. Przede wszystkim natychmiast zlikwidowane zostały reklamy Google AdSense na stronach serwisu. Grono.net podjęło także trudną decyzję o całkowitym usunięciu wszelkich informacji o grono.net z wyszukiwarki Google. Konsekwencją tej decyzji będzie czasowe całkowite zniknięcie serwisu grono.net z wyszukiwarki Google, jednak w zaistniałej sytuacji Zarząd grono.net uznał, iż najważniejsze jest dobro i zaufanie użytkowników.

Jesteśmy przekonani, że dzięki ścisłej współpracy grono.net i firmy Google szybko uda się wyeliminować zaistniałą sytuację.

Raz jeszcze przepraszamy za powstałe niedogodności i zapewniamy, że podjęte zostały kroki, które wykluczą podobną sytuację w przyszłości.

Z poważaniem,

Zarząd grono.net

Aktualizacja: 18 stycznia 2007 14:50

Do redakcji trafiło kolejne, oficjalne oświadczenie:

Oświadczenie zarządu grono.net

Zarząd grono.net informuje, że 16 stycznia o godzinie 23:50 profile użytkowników serwisu przestały być widoczne w wyszukiwarce Google. Obecnie dostępne są jedynie galerie zewnętrzne, tzn. takie, na których udostępnienie bez logowania użytkownicy wyrazili zgodę.

Profile użytkowników zostały w trybie ekspresowym usunięte z wyszukiwarki Google na prośbę grono.net. Decyzja zarządu grono.net podyktowana została troską o bezpieczeństwo danych osobowych i zaufanie naszych użytkowników.

Jednocześnie pragniemy jeszcze raz podkreślić, że w wyniku usterki w wyszukiwarce zindeksowane były wyłącznie informacje jawne dla wszystkich użytkowników grono.net. Nie były publicznie dostępne żadne dane zastrzeżone przez członków społeczności jako poufne i dostępne wyłącznie dla ich znajomych. Przez cały czas bezpieczne były również skrzynki prywatnych wiadomości i ukryte prywatne grona dyskusyjne.

Nie zmienia to faktu, iż podobna sytuacja nie powinna mieć miejsca w grono.net i jest nam niezwykle przykro z powodu jej zaistnienia.

Przepraszamy użytkowników za uciążliwości.

Zarząd grono.net


Zobacz również