Löysikö suomalaisopiskelija Bloggerista tietoturva-aukon, vahingossa?

13touko11

Sain juuri kuulla ns. kulissien takaa,  miksi Googlen Blogger-blogipalvelu on ollut viimeisen vuorokauden sekaisin. Sain asiaan liittyvän sähköpostiketjun ja luvan kertoa tästä ilman nimiä. Kerron aluksi, mitä tapahtui, ja lopussa hiukan yhteenvetoa ja pohdintaa.

Eräs blogin pitäjä kertoo asian näin:

Olin laittanut blogistani vihjeen joukolle entisiä opiskelijoitani. Eräs heistä oli halunnut ilmoittautua lukijaksi ja ilmeisesti tehnyt jotain outoa…päässyt kirjautumaan ikään kuin minuna bloggeriin ja sillä seurauksella, että ikään kuin ”kaapasi” blogini omakseen.

Pääsen tarkastelemaan esikatselua, jossa blogi on OK-näköinen, mutta kun koetan mennä tarkastelemaan varsinaista bloginäkymää (jonka siis pitäisi näkyä kaikille), siellä kehutaan, että ao. blogia ei oo olemassa.

Kyseinen opiskelija kertoo itse tapauksesta näin:

Olen nyt onnistunut kaksi tuntia sitten kaatamaan yhden suurimmista ohjelmistoista.. löytänyt ns. pubin. Sen ei pitäisi olla mahdollista. Koko blogger on ajattu alas. Minä väännän täällä itkua ja olen todella pahoillani, toivottavasti eivät ole poliisit kohta ovella… Kunpa tämä selviäisi onnellisesti. Anteeksi kamalasti!!! Hirvittävästi anteeksi. Minä en uskalla enää koskea koneeseen.

Mutta aina oppii jotakin, eli näin kaapataan (vahingossa) blogi: kirjaudutaan käyttäjäksi ja huomataan, että ollaan luomassa myös omaa blogia (pitäähän uusia käyttäjiä saada), painetaan vain jatka-näppäintä, niin tekevät kaikki blondit, kunnes kysytään blogin osoitetta. Siihen pitää kirjoittaa sen blogin https-osoite, minkä haluat varastaa (tai kuten minä, päästä lukemaan!)

Eli kyseessä oli käyttäjän kannalta puhdas vahinko. Se, mitkä seikat loppujen lopuksi mahdollistivat toisen blogin kaappaamisen, on vain tämän kertoman perusteella epäselvää. Jotenkin yllä oleva vaikuttaa vähän liian helpolta – myös sattumalla (sessionit, selain, palvelimen tila ko. hetkellä yms.) lienee sormensa pelissä mukana. On  mahdollista, että kyseinen bugi on ilmaantunut viimeisen Bloggerin päivityksen myötä, kuten annetaan ymmärtää heidän tiedotteessaan. Toinen vaihtoehto on, että tietoturva-aukko on ollut olemassa kaikki nämä vuodet – ja mahdollisesti sitä on voitu myös käyttää toisten blogien kaappaamiseen. Jos näin on, niin Bloggerin olisi syytä palkita tämä  suomalaisopiskelija aukon paljastamisesta.

Kaapatun blogin kirjoittaja tuo esille saman suuntaisen näkökulmansa näin:

Tää on upeaa! Siis, että osoitetaan näiden järjestelmien häiriintyvyys näin. Tästä pitäis ottaa kaikki hyöty irti, eli mietin juuri, että mihin otettaisi yhteyttä. ?

Yksi julkaisukanava olin siis minä ja tämä blogi.

Johtopäätöksiä

Bloggeria on pidetty turvallisena palveluna, mutta taas nähtiin, että tietoturva on kunnossa vain siihen asti, että aukot löytyvät. Nyrkkisääntö on ollut, että isoihin palveluihin voi luottaa muita paremmin, mutta tämä ja esim. Facebookin jatkuvat vuodot ovat osoittaneet, että näin ei todellakaan ole.  Sosiaalisen median palveluissa on aina mahdollisuus tietojen vuotamiselle, joka jo lähtökohtaisesti pitää ottaa huomioon. Tästä tulee myös mieleen aiempi kirjoitukseni siitä, mitä tietoja lapsista uskaltaa laittaa nettiin.

On perusteltua kysyä, onko samanlaisia aukkoja Google Docsissa, Picasassa, Gmailissa ja muidenkin yritysten palveluissa? Vastaus on, että todennäköisesti kyllä, mutta ne eivät ole tulleet vielä esiin. Joku voisi sarkastisesti huomauttaa, että sosiaalinen media on todellakin omiaan lisäämään avoimuutta ja läpinäkyvyyttä. No, uhkakuviin nähden näitä tapauksia tulee kuitenkin yllättävän vähän vastaan.

P.S. Omasta puolestani varaudun pahimpaan sillä, että otan blogistani varmuuskopion talteen ja uudestaan aina välillä.

P.P.S. Taas yksi syy lisää suositella Bloggerin sijasta WordPress-blogia. Hyvä työkalu www-sivustojen varmuuskopiointiin on HTTrack Website Copier.

Mainokset


16 Responses to “Löysikö suomalaisopiskelija Bloggerista tietoturva-aukon, vahingossa?”

  1. WordPress näyttää pysyvän pystyssä 😉

  2. Kiitos Harto tästä kirjoituksesta! Olin nimittäin eilen vetämässä sosiaalisen median koulutusta ja yksi osa koulutusta oli opetella, kuinka oma blogi perustetaan. Kylläpä oli vaan haastetta kerrakseen, kun Bloggeri oli nurin. Toisaalta erittäin opettavaista, että ongelmat tulevat vastaan heti ensimmäisellä kerralla, kun palvelua opettelee käyttämään. Kaikin puolin muutenkin hyvä, että tällaisia asioita paljastuu, niin ei pääse tulemaan liiallista turvallisuuden tunnetta.

    Terveisin Sirkku

  3. 4 Harto

    Rolle: Kävin lukemassa blogisi. Jos kyse on trolli, niin tässä on vedätetty ensiksi bloggaajaa, jonka blogi ”kaapattiin vahingossa”. Tuon bloggaajan tunnen ja hänen osaltaan en epäile trollaamista. Myös alkuperäinen sähköpostiketju, jonka sain, vaikuttaa aidolta ja trolliksi se olisi vähän liian pitkä, jotta se voisi olla etukäteen suunniteltu. Siksi toiseksi itse kysyin lupaa tästä kirjoittamiselle, eikä ”vahinkohakkeri” missään vaiheessa pyrkinyt saamaan asiaa julkiseksi.

    Eli vielä toistaiseksi olen valmis nielemään tämän tarinan totena. Joskus totuus voi olla trollausta ihmeellisempää. 🙂

  4. 5 Rolle

    Aivan, kuvittelin että olisi ollut sama tyyppi. Ehkä minulle meilannut ihminen on vähän värittänyt totuutta. Jotain mätää tässä kuitenkin on, Bloggerin blogissa ei puhuta nimittäin mitään tietoturva-aukosta tai käyttäjän teosta aiheutuneesta häröstä, ainoastaan korruptoituneesta datasta.

  5. 6 Rolle

    Niin ja vielä lisäyksenä, kyseinen tyyppi ei kysynyt itsekään minkäänlaista asian julkituomista vaan itse päätin blogata aiheesta, johon kysyin hänen lupaansa…

    • 7 Harto

      Mun mielestä vaihtoehdot ovat nämä:

      a) ”hakkeri” löysi vanhan tietoturva-aukon, joka laittoi hänet omistajaksi toisen käyttäjän blogiin – tämä olisi sitä ”korruptoitunutta dataa kannassa”

      b) Blogger onnistui rikkomaan päivityksessä itsensä ja tämä kokematon ”hakkeri” luuli aiheuttaneensa jotakin, vaikkei aiheuttanut

      c) Bloggerilla oli jokin muu vikatilanne ja ”hakkeri” keksi siihen sopivan trollin

      Koska henkilöt tässä ovat todellisia, niin veikkaan a) tai b).

      Bloggerin näkökulmasta koko tapaus ihan eri. Jos a) pitää paikkaansa, niin ei ole mitenkään varmaa, että ko. turva-aukko on vieläkään korjattu. Jätän sen testaamatta, koska sellaiselle löytyy laista rikosnimike.

      Sen kuitenkin tiedän, että Bloggerin helpdeskiin jätetyssä viestissä ei ollut noin tarkkaa turva-aukon kuvausta kuin yllä olevassa sähköpostissa, joten heillä ei välttämättä ole tiedossa kaikkia (oletettuja) faktoja. Vika saatettiin havaita ilman, että siihen osattiin yhdistää oikeaa syytä. Korjauksesta tiedämme vain sen, että he palauttivat edellistä päivitystä aiemman version ja tekivät ehkä jotain muutakin.

      Jos aukko oli todellinen ja se korjattiin, niin Blogger tuskin omaehtoisesti lähtee kuuluttamaan tiedotteissa, että ”korjasimme 10 vuotta vanhan aukon, jonka joku löysi vahingossa, ja jolla saattoi kaapata toisten blogeja omakseen”. Koska jos tämä PITÄÄ paikkaansa, niin tapaus on heille todella nolo.

  6. 8 Larko

    Alkujaan Bloggerissa oli erillinen käyttäjätunnus vielä senkin jälkeen, kun Google sen osti. Tunnistautuminen ja kirjautuminen on kuitenkin jo vuosien ajan tapahtunut Google-tilin kautta. Näin ollen lienee todella syytä olla huolissaan muiden Googlen palveluiden turvallisuudesta (Gmail, Google Docs, Picasa, YouTube, Google Reader jne.). Itsekin käytän näitä kaikkia (paitsi en enää aktiivisesti Bloggeria) ja olen tähän asti ajatellut pärjääväni niillä loppuikäni.

  7. Googlen virallisessa blogissa on selitys: http://googleblog.blogspot.com/2011/05/blogger-is-back.html

    Oleellisesti Bloggeriin tehtiin keskiviikkona päivitystä, jossa jokin meni pieleen. Tämän jälkeen käyttöoikeuksia ja muuta oli sekaisin. Käytännössä ylläpito pyöritti koko palvelun päivityksen edeltäneeseen tilaan ja sain homman taas toimimaan.

    20 tunnin käyttökatko, mikä on siis tosi iso Googlelle, mutta ei mitenkään suuri esim. kotimaisten yliopistojen ja palvelinfarmien mittapuussa.

    Kukaan yksittäinen henkilö ei siis rikkonut itse palvelua, mutta yksittäiset henkilöt tietenkin havaitsivat näitä päivitysongelmasta johtuneita ongelmia. Viestinä kirjoituksessasi mainitulle opiskelijalle, että hän ei ole syypää mihinkään.

    • 10 Harto

      Tarmo: Noin siis tapahtui Googlen näkökulmasta. Tämän opiskelijan näkökulmasta tilanne oli toinen. Hän kuvaa tapahtuneen melko tarkasti yllä. Oliko kyse samasta vai eri ongelmasta kuin Bloggerin 20 tunnin katkoksesta, sitä emme tiedä. Todennäköisesti samasta, mutta varmuutta tähän tapaukseen lienee mahdotonta saada.

  8. 11 Heli

    Hei!

    Blogisi on erittäin mielenkiintoinen ja tyylikäs. Olisimme kiinnostuneita yhteistyöstä kanssasi. Ottaisitko minuun yhteyttä, niin kerron tarkemmin, millaisesta yhteistyöstä olisi kyse.

    Ystävällisin terveisin,
    Heli
    heli.halva@goviral.com


  1. 1 Finnish student manged to take down Blogger (by accident) « TheFinnGeek
  2. 2 Varmuuden vuoksi « Ihan pihalla
  3. 3 Bloggerin ongelman syy… « Zepanderi laua ääres
  4. 4 Suomalainen äiti kaatoi bloggerin vahingossa | Rollemaa.org
  5. 5 blogger pois käytöstä? Lue seuraavaa; « Jorman jutut

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s


%d bloggers like this: