Hakerzy próbują przejąć Apple ID na iPhone'ach
(źródło: Pixabay)

Używasz Quizme? Lepiej szybko zmień hasło

Zespół badaczy z Cybernews odkrył, że nieumyślnie ujawniono dane ponad 60 tysięcy użytkowników. Polska platforma jest dość popularna, szczególnie w placówkach edukacyjnych. Jej użytkownicy mogą być narażeni na phishing. Lepiej szybko zmień hasło.

Platforma z quizami miała otwarte wrota dla hakerów

Quizme to polska platforma internetowa, na której możliwe jest tworzenie i udostępnianie quizów, zagadek, testów czy innych łamigłówek. Miesięcznie w serwisie loguje się nawet milion użytkowników, często korzystają z niego nauczyciele i uczniowie, aby np. powtórzyć czy przećwiczyć materiał konieczny do przyswojenia. Wygodny i przydatny w nauce portal okazał się jednak potencjalnym zagrożeniem.

Quizme
(źródło: Quizme)

Użytkownicy platformy Quizme mogą paść ofiarą ataków phishingowych oraz przejęć ich kont. W dniu 25 czerwca 2024 roku grupa badawcza Cybernews dotarła do otwartego katalogu internetowego tego serwisu. Okazało się, że przez włączony listing katalogów osoby z zewnątrz mogły bez żadnego uwierzytelnienia przejrzeć wszystkie podfoldery znajdujące się w serwisie, używając do tego zwyczajnej przeglądarki internetowej.

W praktyce oznacza to, że hakerzy w witrynie mogli w prosty sposób uzyskać dostęp do danych, takich jak adresy e-mail, numery adresów IP, nazwy użytkowników, powiązanych kont na portalu społecznościowych Facebook czy nawet haseł ustawionych przez ponad 60 tysięcy użytkowników.

Quizme rozwiązało problem, ale lepiej zmienić hasło

Specjaliści z Cybernews zagłębili się w sposób działania strony internetowej. Okazało się, że w witrynie zastosowano przestarzałą i uważaną już za niebezpieczną metodę algorytmu haszującego SHA-1. To funkcja, której zadaniem jest wprowadzanie zmian w danych wejściowych przekształcając je w ciąg znaków o stałej długości. Ten sposób złamania algorytmu jest już bardzo prosty do złamania.

W kopiach zapasowych, które udało się przejąć, poza danymi znalazły się także treści quizów oraz odpowiedzi wybierane przez konkretnego użytkownika. Z uwagi na codzienne tworzenie nowej kopii, dane te nie były starsze niż 24 godziny. To jednak pozwalało na poznanie preferencji posiadacza danego konta, co może ułatwić tworzenie profili i wykorzystywanie ich do ataków spear phishingowych, czyli ukierunkowanych na konkretną osobę.

Zespół wsparcia technicznego strony Quizme po ujawnieniu problemu rozwiązał go. Wyjaśnił też, że problemy wyniknęły przez przestarzałe błędy konfiguracyjne i niedopatrzenia, jednak nie miano złych intencji. Dodatkowo wspomniano, że platforma nie jest w stanie oszacować skali zaistniałych kłopotów. Portal zobowiązał się do przesłania wiadomości do użytkowników, których może dotyczyć problem. Zachęca także do zmiany hasła.