4 marca pod adresem LoteriaParagonowa.gov.pl wyświetlały się treści pornograficzne. Ministerstwo Finansów przekonuje, że ataku hakerskiego nie było. Nie wiadomo jednak, jak doszło do tej kompromitującej sytuacji.

Pod domeną LoteriaParagonowa.gov.pl funkcjonował serwis Narodowej Loterii Paragonowej, w której można było brać udział od października 2015 r. do września 2016 r. W jej ramach każdy paragon fiskalny o wartości powyżej 10 zł można było zarejestrować jako los, umożliwiający wygranie nagrody, np. laptopa, tabletu, a nawet samochodu. Przedsięwzięcie miało zachęcić konsumentów do zbierania paragonów, co miało się przyczynić do zwiększenia wpływów z VAT. W sumie zgłoszono 137 milionów paragonów. Witryna działała jeszcze w 2017 r., ale ze względu na zakończenie Loterii przestała być aktualizowana. 4 marca br. serwis Niebezpiecznik.pl doniósł, że pod domeną wyświetlane są treści pornograficzne.

Próby wyjaśnienia sprawy nie dały jednoznacznych wniosków. Najpierw redakcja sugerowała, że mogło dojść do zhakowania konta na firmy hostingowej lub rejestracyjnej. W aktualizacji poinformowano, że nie doszło do narażenia danych osobowych uczestników loterii, pojawił się też kolejne trop w sprawie. Okazało się, że Ministerstwo wykupiło domenę na kilka lat do przodu, ale skasowało konto hostingowe w firmie Cloudflare – nie zadbało jednak o zmianę serwerów DNS powiązanych z domeną. Niebezpiecznik zasugerował, że mogło dojść do ataku według następującego przepisu:

„[Ktoś] Założył swoje własne konto na Cloudflare. Zaczął do niego dodawać domenę loterii paragonowej… i domena została ona dodana z powodzeniem, bo po stronie rejestratora domeny wciąż były ustawione “stare” CloudFlare’owe DNS-y, a Cloudflare nie weryfikuje “dodania” domeny w inny sposób niż sprawdzając czy wskazuje ona na DNS-y z puli Cloudflare’a. Po takim ruchu, ktoś mógł przekierować domenę na dowolny adres IP — z czego skorzystał.”

Przedmiotem ataku miały być również inne domeny, wskazujące na ten sam adres IP, m.in. PlanetaDownloadu.pl i AutaAmerykanskie.pl. „Wygląda na to, że ktoś aktywnie przeszukuje internet pod kątem domen wciąż aktywnych, ale ze skasowanymi kontami na CloudFlare (szuka więc odpowiednich rekordów DNS i brak rekordu A)” – spekulowała redakcja Niebezpiecznika, radząc, by na kasowanych domenach ustawiać DNS-y, które nie mogą być modyfikowane przez osoby trzecie.

W aktualizacji z kolejnego dnia okazało się jednak,że przejęcie domeny na Cloudflare jest znacznie trudniejsze, ponieważ dostawca hostingu przy zakładaniu konta losuje 2 DNS-y przypisane do domeny. W efekcie przeprowadzenie skutecznego ataku musiałoby się wiązać z założeniem nawet setek tysięcy kont na Cloudflare, co nie brzmi jak prawdopodobny scenariusz. Bardziej realistyczną ewentualnością byłoby przejmowanie porzuconych kont na Cloudflare za pomocą haseł pochodzących z wycieków danych.

Ta możliwość została jednak odrzucona w aktualizacji z 6 marca. Ministerstwo Finansów przekazało informację uzyskaną od Cloudflare, że w momencie „przejęcia” strony stare konto MF faktycznie było skasowane. Z oświadczenia Ministerstwa przytoczonego przez portal Wyborcza.pl wynika, że przyczyną zamieszania było zaniedbanie po stronie podwykonawcy firmy hostingowej: „Domena została jednak pozostawiona z przekierowaniem na serwery DNS dostawcy usług DNS (podwykonawca firmy hostingowej). (…) Niestety w serwisie podwykonawcy firmy hostingowej (dostawca usług DNS) doszło do podmiany adresu kierującego do serwerów publikujących treści nieautoryzowane przez MF dla strony loteriaparagonowa.gov.pl”. W jakich okolicznościach nastąpiła podmiana i kto za nią odpowiada – tego nie wiadomo.

Informacja o podmianie została przekazana MF przez Rządowy Zespół Reagowania na Incydenty Komputerowe CERT 4 marca wieczorem. Dzięki wspólnemu działaniu CERT i NASK przekierowanie zostało wyłączone.

Tagi: .gov.pl, atak hakerski, LoteriaParagonowa.gov.pl, Ministerstwo Finansów, Niebezpiecznik.pl, porno, przejęcie domeny