Január elején a Kiberblog publikálta, hogy az angol nyelvű Full Disclosure lista egyik felhasználója több súlyosnak tűnő sérülékenységet is talált a Webgalamb hírlevélküldő szolgáltatásban. A Webgalambot számos hazai webshop használja, ezért a felfedezett hiányosságok akár komoly problémát okozhatnak számos webkereskedőnek. A szolgáltatás fejlesztői szerint a helyzet nem ennyire súlyos, és már befoltozták a biztonsági réseket.
Daniel Jones eredeti publikációjára hivatkozva a Kiberblog több konkrét támadási lehetőséget felvázol. Többek között azt állítják, megkerülhető a rendszer hitelesítése, miáltal hozzá lehet férni az összes felhasználó adataihoz, adott esetben akár az adminisztrátor gépéhez, vagy azon keresztül akár a teljes céges hálózathoz. Azt is hozzáteszik, hogy a támadó akár fájlokat is feltölthet a hírlevélküldő szerverre, ezáltal a szervert akár malware terjesztésére is felhasználhatják. A blogposzt arra is kitér, hogy a javításról, illetve az érintett ügyfelek értesítéséről egyelőre semmit nem lehet tudni.
Az ügyben információkat kértünk a Webgalambot fejlesztő E.N.S. Informatikai és Rendszerintegrációs Zrt-től. Kérdéseinkre Daróczi Gábor termékfejlesztési igazgató válaszolt.
A Kiber blog szerint elismertétek ezeket a sérülékenységeket, ezt meg tudjátok-e erősíteni?
Részünkről a sajtóval, így a kiber.blog.hu-val semmiféle kommunikáció nem volt a cikkük megjelenése előtt. Meglátásunk szerint egy etikus szerzőnek kötelessége lenne az állításai valódiságáról előzetesen meggyőződni, és még a publikáció előtt megkeresni a cikkben érintett szoftvertermék kiadóját. Természetesen, ha ilyen megkeresést kaptunk volna, soron kívül válaszolunk, és elmondtuk volna, hogy már régen publikáltuk a sérülékenységek javítását.
A kiber.blog.hu kiadójával már felvettük a kapcsolatot, kérve a sajtóhelyreigazítást. Bízunk benne, hogy legalább utólag etikus hozzáállásnak nézünk elébe, és mielőbb a valóságnak jobban megfelelő tartalom jelenhet meg a blogon.
De ezek szerint valóban fennálltak ezek a sérülékenységek?
Az eredeti, angol nyelvű anyag szerzőjétől valóban kaptunk értesítést vélt sérülékenységekről, ezeket azonnal, még a tavalyi évben soron kívül megvizsgáltuk, és intézkedtünk is a javítások elkészítéséről.
Az első teljeskörű javítócsomag (hotfix), már 2018. november 13-án elérhető volt a felhasználók számára. Ez önmagában megoldott minden felmerült problémát, még hónapokkal azelőtt, hogy egyáltalán a vélt sérülékenységek nyilvánosságra kerültek volna.
Másrészt a kiadott gyorsjavítás után elkészítettünk és 2019. január 7-én kiadtunk egy újabb frissítést, ami számos kényelmi, illetve funkciójavítás mellett ismételten tartalmazza a biztonsági frissítéseket. Ezzel egyrészt még vonzóbbá szerettük volna tenni a felhasználók számára a telepítést, másrészt ez a véglegesnek szánt telepítőcsomag már olyan megoldásokat tartalmaz, ami nem csak kizárja a visszaélést, de egy magasabb szintű technológiai választ ad a felmerült problémákra. Ez a verzió az, amelyikről a továbbiakban a bejegyzést szerző hackerrel, illetve más szakmai szereplőkkel egyeztetünk, de ez egy külön háttérfolyamat.
Készült-e közlemény az ügyfelek számára, amelyben tájékoztattátok őket a helyzetről?
Mivel mi magunk is rendszeresen készítünk hibajavításokat, funkcionális és biztonsági területen, ezekről a megszokott módon a Webgalamb szoftverén keresztül értesítettük a felhasználókat. A Webgalambba belépve a felhasználó azonnal és automatikusan értesül arról, hogy frissítés érhető el, valamint arról is, hogy az mit tartalmaz.
A felhasználók védelme érdekében addig nem állt szándékunkban a sajtót bevonni a tájékoztatásba, amíg nem győződtünk meg arról, hogy a felhasználók a lehető legteljesebb körben frissítettek, vagy megoldották ettől függetlenül az előírtaktól eltérő program, illetve szerverbeállításokat.
Mivel a január elején megjelent, túlzó blogposzt hatására felkapottá vált az ügy, ez rendkívüli intézkedésre is okot adott, ezért az az ügyfeleinket közvetlenül, emailben is értesítettük, amelyben külön felhívjuk a figyelmüket a frissítés telepítésének szükségességére. Emellett további tájékoztatást is végzünk folyamatosan telefonon, közösségi médián keresztül, gyakorlatilag bárhol annak érdekében, hogy mindenkit megnyugtassunk. E körben szeretnénk kiemelni és megköszönni az ügyfeleink és a szakma részéről is azt az általánosnak mondható korrekt hozzáállást, hogy támogatnak bizalmukról és erős kritikával kezelik a megjelent információkat, érzékelve benne a sajtószenzációt.
Mennyire súlyos problémát jelentenek ezek a sérülékenységek az ügyfelek számára?
Az a helyzet, hogy a közlésben szereplő sérülékenységek egymásra épülnek, kvázi dominó elven. Csakhogy az érvelés legelején egy olyan állítás szerepel, ami nem egzakt: feltételezésre, nem bizonyítottságra épül, speciális esetekben, kivételesen igazolható. Ha ezt kihúzzuk a képletből, a többi állítás is megdől. Ezen kívül az eredeti riport is megemlíti, hogy sok esetben a Webgalamb-tulajdonosok sem jártak el helyesen a rendszer beüzemelésekor, amivel elismeri, hogy ez a figyelmetlenség jelentősen megkönnyíti, illetve lehetővé teszi az esetleges visszaélést.
Ezzel együtt természetesen mind a szakmai kétségeket, mind a lehetséges kritikákat félretéve valamennyi közölt sérülékenységeket időben kijavítottuk, elsősorban az ügyfeleink védelme érdekében, másodsorban pedig szakmai elkötelezettségből, és – bevalljuk – szakmai hiúságból.
Azt ugyanakkor el kell ismerni, hogy nagyon ügyes, jó észrevételeket kaptunk, amik a többszintű belső ellenőrzési folyamatok, illetve a külső biztonságtechnikai szakértők által elvégzett audit sem tárt fel, és így különösen elismerésre érdemes.
A konkrét eset kapcsán milyen tennivalója van az ügyfeleknek?
Ügyfeleinknek ettől az esettől függetlenül is mindig azt tanácsoljuk, hogy a szoftver frissítéseket rendszeresen telepítsék, hasonlóan az élet más területén használt szoftverekhez. Azt is mindig kiemeljük, hogy kizárólag olyan tárhelyre telepítsék a webgalambot, ami biztonságtechnikailag helyesen konfigurált, jól karbantartott és rendszeresen ellenőrzött. Természetesen lehetőséget biztosítunk arra is, hogy az ügyfeleink a Webgalamb példányaikat nálunk, a saját infrastruktúránkon üzemeltessék. Így egyszerűbb a működtetés, mivel díjmentesen telepítjük számukra a programot, hibajegy, támogatás kérése esetén teljeskörűen tudunk segíteni, külső körülményektől mentesen, nem kell külső cégre várni.
Jelenleg tehát a legfontosabb tennivaló, hogy mindenki telepítse a frissítés, és legalább webgalamb 6.0.4, vagy 7.0.2 verzióval rendelkezzen. Azok az ügyfelek, akik ettől alacsonyabb 4.X, vagy 5.X főverzióval rendelkeznek, mindenképpen keressenek meg minket, hiszen nekik ettől a mostani ügytől függetlenül is számtalan okból kell frissíteni. Ezek a verziók biztonsági támogatással már nem csak nálunk, hanem a futtatást végző keretprogramok oldaláról sem rendelkeznek, így biztonságosan nem üzemeltethetők.
A felhasználókat ezen kívül csak a szokásos odafigyelésre bíztatjuk: a munkájuk végeztével jelentkezzenek ki a programból, a hozzáféréseiket ne adják ki másoknak, a jelszavukat úgy válasszák meg, hogy az ne legyen könnyen kitalálható, ne mentsék el, az ne egyezzen meg más jelszavaikkal (különösen ne a postafiók jelszavukkal), illetve semmiképpen ne adják meg azt adathalász oldalakon. Mi sosem végzünk adategyeztetést a Webgalambon kívüli csatornán, ezért ha valaki ilyesmivel próbálkozik a nevünkben, az biztosan kárt akar okozni.
Biztonsági probléma esetén ki a felelős?
Egy webáruház tulajdonosa számára fontos szempont, hogy ha egy szoftver sérülékenysége miatt adatvédelmi incidens történik, akkor azért kit terhel a felelősség. Dr. Székely Gergely ügyvéd, a Székely Legal alapító partnere szerint ez attól is függ, hogy az adott szoftver felhőből, folyamatosan nyújtott szolgáltatásként érhető el (Software-as-a-Service, SaaS), vagy pedig az e-kereskedő megvásárolja, és saját szervére telepítve üzemelteti a szoftvert.
Bár mindkét esetben a webáruház az adatkezelő, és a vásárlók felé nekik kell felelősséget vállalnia, ugyanakkor az SaaS modellben a szoftverszolgáltatást nyújtó cég adatfeldolgozóként jelenik meg. Az adatkezelő és feldolgozó viszonyát a GDPR precízen szabályozza, vagyis a kettejük között létrejövő szerződésnek rendelkezésben rögzített kötöttségei vannak. Például az adatfeldolgozó nem háríthatja át a teljes felelősséget az adatkezelőre, a saját szolgáltatásának hibáiért ő maga felel.
Egy szoftver megvásárlása és saját üzemeltetése esetén már más a helyzet. Ezen a téren 2014. március 15. óta nagyobb a szerződési szabadság, ezért a szerződő feleken múlik, hogy milyen szavatossági és felelősségi feltételekben állapodnak meg. A szoftver fejlesztője ilyenkor általában arra törekszik, hogy a szoftver funkcionalitásáért vállaljon garanciát, az adatvédelmi felelősséget viszont áthárítsa arra hivatkozva, hogy nem ő üzemeltet, ezért egy adatszivárgás akár tőle teljesen függetlenül is megtörténhet.
Egy ilyen szerződés aláírása előtt nagyon fontos, hogy a cég üzleti vezetője és jogi szakértője együtt végezzenek egy kockázatelemzést. Egyrészt azt kell mérlegre tenni, megéri-e megkötni egy olyan megállapodást, amelyben a felelősség limitáltan vagy sehogy sem hárítható át. Másrészt pedig azt, hogy ha a felelősség áthárítható, akkor elegendő-e a kártérítés mértéke, illetve az adott cég méretét, megbízhatóságát tekintve reálisan érvényesíthető lesz-e a követelés vele szemben – mondta dr. Székely Gergely.