Zespół badaczy z Cybernews odkrył, że nieumyślnie ujawniono dane ponad 60 tysięcy użytkowników. Polska platforma jest dość popularna, szczególnie w placówkach edukacyjnych. Jej użytkownicy mogą być narażeni na phishing. Lepiej szybko zmień hasło.
Platforma z quizami miała otwarte wrota dla hakerów
Quizme to polska platforma internetowa, na której możliwe jest tworzenie i udostępnianie quizów, zagadek, testów czy innych łamigłówek. Miesięcznie w serwisie loguje się nawet milion użytkowników, często korzystają z niego nauczyciele i uczniowie, aby np. powtórzyć czy przećwiczyć materiał konieczny do przyswojenia. Wygodny i przydatny w nauce portal okazał się jednak potencjalnym zagrożeniem.
Użytkownicy platformy Quizme mogą paść ofiarą ataków phishingowych oraz przejęć ich kont. W dniu 25 czerwca 2024 roku grupa badawcza Cybernews dotarła do otwartego katalogu internetowego tego serwisu. Okazało się, że przez włączony listing katalogów osoby z zewnątrz mogły bez żadnego uwierzytelnienia przejrzeć wszystkie podfoldery znajdujące się w serwisie, używając do tego zwyczajnej przeglądarki internetowej.
W praktyce oznacza to, że hakerzy w witrynie mogli w prosty sposób uzyskać dostęp do danych, takich jak adresy e-mail, numery adresów IP, nazwy użytkowników, powiązanych kont na portalu społecznościowych Facebook czy nawet haseł ustawionych przez ponad 60 tysięcy użytkowników.
Quizme rozwiązało problem, ale lepiej zmienić hasło
Specjaliści z Cybernews zagłębili się w sposób działania strony internetowej. Okazało się, że w witrynie zastosowano przestarzałą i uważaną już za niebezpieczną metodę algorytmu haszującego SHA-1. To funkcja, której zadaniem jest wprowadzanie zmian w danych wejściowych przekształcając je w ciąg znaków o stałej długości. Ten sposób złamania algorytmu jest już bardzo prosty do złamania.
W kopiach zapasowych, które udało się przejąć, poza danymi znalazły się także treści quizów oraz odpowiedzi wybierane przez konkretnego użytkownika. Z uwagi na codzienne tworzenie nowej kopii, dane te nie były starsze niż 24 godziny. To jednak pozwalało na poznanie preferencji posiadacza danego konta, co może ułatwić tworzenie profili i wykorzystywanie ich do ataków spear phishingowych, czyli ukierunkowanych na konkretną osobę.
Zespół wsparcia technicznego strony Quizme po ujawnieniu problemu rozwiązał go. Wyjaśnił też, że problemy wyniknęły przez przestarzałe błędy konfiguracyjne i niedopatrzenia, jednak nie miano złych intencji. Dodatkowo wspomniano, że platforma nie jest w stanie oszacować skali zaistniałych kłopotów. Portal zobowiązał się do przesłania wiadomości do użytkowników, których może dotyczyć problem. Zachęca także do zmiany hasła.