Włamywacz przekierował miliony użytkowników Cligs

W miniony weekend ktoś włamał się do serwisu Cligs, oferującego usługę skracania adresów URL (chętnie korzystają z niej m.in. użytkownicy mikrobloga Twittera, w którym obowiązuje limit znaków w każdej wiadomości). Niezidentyfikowany na razie przestępca wprowadził na stronie pewne modyfikacje, które sprawiły, że wszystkie generowane przez serwis skrócone linki prowadziły do tej samej witryny.

Owa witryna to blog Kevina Sabana, który już w niedzielę zorientował się, że dzieje się coś dziwnego - jego stronę w krótkim czasie odwiedziło ponad 2,2 mln internautów. Saban, który sam korzysta z Cligs, zorientował się, że osoby trafiające na jego stronę korzystały z serwisu skracającego, który z jakiegoś powodu wszystkie podane odnośniki zmieniał w krótkie linki do jego serwisu. Bloger niezwłocznie powiadomił o tym właściciela Cligs, Pierre'a Fara, a ten z kolei skontaktował się ze specjalistami ds. bezpieczeństwa.

"To dość ciekawa sytuacja - na początku myśleliśmy, że to jakaś ogromna operacja spamowa czy phisherska. Sądziliśmy, że użytkownicy Cligs będą przekierowywani na jakąś stronę z wirusami czy witrynę podszywającą się pod bank. Ale wszyscy trafiali na stronę Sabana, który wydaje się zupełnie przypadkową ofiarą" - komentuje Graham Cluley, konsultant ds. bezpieczeństwa firmy Sophos.

Cluley z góry założył, że autor ataku chciał w jakiś sposób zarobić na włamaniu do Cligs - ale tym razem nic takie nie nastąpiło. Właściwie nie wiadomo dlaczego - specjalista spekuluje, że być może mamy do czynienia z pomyłką przestępcy. "Może włamywacz błędnie wpisał adres, na który chciał przekierować interenautów i w efekcie wszyscy trafili na niewłaściwą stronę?" - zastanawia się Cluley. Zwykle w podobnych przypadkach internauci są kierowani na stronę, na której osadzone jest złośliwe oprogramowanie, infekujące system Windows przez luki w przeglądarkach (najczęściej w Internet Explorerze lub Firefoksie).

Serwisy skracające adresy URL stały się ostatnio niezwykle popularne - głównie za sprawą serwisu mikroblogowego Twitter, w którym każda wiadomość ma limit znaków (dlatego ich użytkownicy chętnie je "przycinają" za pomocą odpowiednich witryn). Ale Cligs nie jest najpopularniejszym z nich - serwis ten nie mieści się nawet w pierwszej piątce najpopularniejszych (wśród użytowników Twittera) "skracaczy".

Niewykluczone, że został on zaatakowany przede wszystkim dlatego, że było to najłatwiejsze - przedstawiciele serwisu przyznali, że "napastnik" wykorzystał do przeprowadzeniu ataku poważny błąd w funkcji edytowania adresów. "Znalazłem lukę - wkrótce zostanie usunięta. Na razie zastosowałem zabezpieczenie tymczasowe - po prostu wyłączyłem wadliwą funkcję. Teraz zająłem się przywracaniem zmodyfikowanych przez włamywacza odnośników - problem w tym, że najnowsza kopia zapasowa pochodzi z maja, więc stworzone w ostatnich dniach za pomocą Cligs odnośniki mogą nie działać poprawnie" - tłumaczy Pierre Far.

Na razie nie wiadomo zbyt wiele o włamywaczu - wstępne analizy wykazały tylko, że atak nastąpił z adresu IP zarejestrowanego w Kanadzie.

Graham Cluley spodziewa się, że takie ataki mogą się powtarzać - przejęcie kontroli nad serwisem skracającym odnośniki jest dla przestępców doskonałym sposobem na skierowanie internautów na niebezpieczne witryny (klikając na taki skrócony link użytkownik nie ma pojęcia, gdzie trafi - dowiaduje się tego dopiero, gdy strona zostanie załadowana) . Na szczęście jest prosty sposób zredukowania zagrożenia - specjalista zaleca zainstalowanie aplikacji (np. dodatku do przeglądarki), który umożliwia sprawdzenie rzeczywistego adresu strony przed jej załadowaniem. "Rekomendujemy korzystanie z takiego oprogramowania. Oczywiście, to nie jest stuprocentowe zabezpieczenie, bo nawet "legalne" strony mogą zawierać złośliwe oprogramowanie. Ale lepsze to, niż nic" - mówi Cluley.

Ekspert zasugerował też, że Twitter mógłby pomóc swoim użytkownikom w zabezpieczeniu się - "W dostępnej w tym serwisie wyszukiwarce jest opcja wyświetlenia rzeczywistego adresu strony. Dlaczego nie ma jej na stronach z wpisami? To mogłoby znacząco ograniczyć problem" - mówi Cluley.


Zobacz również