Tegnap este robbant a hír, hogy egy hacker feltörte a Prezit, és hozzáfért a szoftver forráskódjához is. Mindezt azonban nem rossz szándékból tette, hanem egy kis pénz reményében, a Prezinek ugyanis létezik egy Bug Bounty nevű hibakeresési programja, melynek keretében 500 dollárral jutalmazzák a hibát elsőként bejelentő embert – és a program szabályzatának köszönhető, hogy az ügy végül sokkal nagyobb nyilvánosságot kapott, mint kellett volna.

Shubham Shah két órán át bogarászta a Bug Bounty szabályai alapján a hibakeresési programban részt vevő subdomaineket, de mivel nem talált semmit, úgy döntött, más subdomainek után néz, hátha azokon sikerrel jár. Némi keresgélés után rátalált az intra.prezi.comra, amin a Sonatype Nexus forráskód- és repómenedzsment keretrendszer fut, és a vizsgálat időpontjában még nyilvánosan elérhető volt mindenki számára, pusztán felhasználói név és jelszó kellett a belépéshez. Egy gyors Google-keresés meglepő eredményt hozott, Shubham ugyanis megtalálta az egyik fejlesztő privát repóját, melyben mindenféle titkosítás nélkül ott volt egy konfigurációs fájl, benne a szükséges, és akkor még érvényes hozzáférési adatokkal. Innen már semmi akadálya nem volt, hogy belépjen a fejlesztői subdomainre, és kulcsfontosságú adatokhoz férjen hozzá. A hatalmas biztonsági rést saját bevallása szerint tíz percen belül bejelentette a Prezinek, hivatkozva a Bug Bounty programra, és minden bizonnyal már előre örült a néhány óra alatt megkeresett 500 dollárnak.

Ebből nem volt nehéz kihalászni a belépési adatokat

A válasz másfél órával később meg is érkezett, a levélben a cég egyik munkatársa megköszönte a bejelentést, jelezte, hogy megváltoztatták a bejelentkezési adatokat, és megígérte, hogy hétfőn (a „betörés” és a bejelentés október 26-án, szombaton történt) jelentkezni fognak. Arra is megkérték Shubhamot, hogy addig ne hozza nyilvánosságra a hibát. A hétfőre ígért levél azonban nem érkezett meg, Shubham csütörtökig várt, majd érdeklődött, hogy „Mi a helyzet?”. A Prezi pénteki válaszában azonban nem azt találta, amire számított, a cég ugyanis 500 dollár helyett egy bögrét vagy pólót adott volna neki, a jó szándékú hacker ugyanis megsértette a játékszabályokat, hiszen egy olyan subdomainre próbált bejutni, ami nem volt felsorolva a Bug Bounty programban, nem a saját felhasználói nevével és jelszavával jelentkezett be, és úgy összességében egyáltalán nem az előírásoknak megfelelően hajtotta végre a támadást. Az ezt követő levélváltásban Shubham megírta, hogy lemond a pénzről, de adott néhány tanácsot a Prezi részéről eddig vele kapcsolatban levő Attilának a kommunikációt és a Bug Bounty program előírásait illetően.

Az esetről tegnap, azaz bő egy hónap elteltével született egy blogbejegyzés, ami nagyon gyorsan végigsöpört a biztonsági szakma közösségén, a sajtó pedig pillanatok alatt felkapta, általában azzal a felhanggal, hogy a garasoskodó/hálátlan Prezi nem fizet a becsületes hackernek. Pedig, ha kicsit mélyebben vizsgáljuk az ügyet és az egyes lépéseket, nem nehéz belátni, hogy nem volt szó se fukarságról, se nemtörődömségről, hálátlanságról, egyszerűen a bejelentést kezelő prezis munkatárs kezdetben tartotta magát a cég által kiírt szabályokhoz. A blogbejegyzés utáni negatív visszhang miatt viszont valószínűleg magasabb polcra került az ügy, mert Shubham tegnap este kapott egy levelet Zágon Mihálytól, a Prezi egyik biztonsági mérnökétől. A levélben a cég elismerte, hogy hibázott, és korábbi döntését megváltoztatva szeretné kifizetni a pénzdíjat, továbbá a korábbi, ehhez hasonló eseteket is felülvizsgálja.

Halácsy Péter. Forrás: Prezi

Ezzel egy időben a Prezi egyik társalapítója és technológiai igazgatója, Halácsy Péter a vállalat blogján leírta, hogy miért kezelték az ügyet úgy, ahogy, és bejelentette, hogy a jövőben olyan hibák bejelentéséért is fizetni fognak, melyeket nem a Bug Bounty program leírásában szereplő subdomaineken találnak, és a sikeres behatolást követően nem nyúlnak hozzá felhasználói adatokhoz. Szabó „Webisztán” Gergelynek Halácsy minden teketória nélkül elismerte, hogy hibáztak, és azt is elmondta, hogy Shubham csak a forráskód egy részéhez fért hozzá, felhasználói adatokhoz nem (ez Shubham blogbejegyzése alapján egyébként is csak mint lehetőség állt fent, a hacker ugyanis saját bevallása szerint nem nyúlt hozzá semmihez, és a biztonsági lyukat észlelve azonnal jelentette azt a Prezinek).

A Shubham és Prezi közötti teljes levelezés itt olvasható.