W ciągu ostatnich dni użytkownicy serwisu eFaktura.gov[.]pl. odnajdowali tam dziwne treści. Wiele wskazuje na to, że znajdowały się tam już od roku. Prawdopodobnie ktoś przejął konto jednego z pracowników i z jego poziomu opublikował informacje o interesujących tematach, ale niekoniecznie związanych z działaniem serwisu.
Zamieszczone w serwisie informacje nie są widoczne na stronie głównej. Znajdują się w różnych podkategoriach i są widoczne dla Googla i indeksowane w jego wyszukiwarce. Włamanie wygląda zatem na ambitny projekt z kręgu SEO. Teksty pisane są po angielsku, niemiecku i rosyjsku.
Problem dotyczy jednej osoby, która zgodnie z tym, co się wyświetla, opublikowała prawie 700 wpisów.
Pierwszy z artykułów ma datę z czerwca 2021 r. Możliwe jednak, że to nie włamanie i umieszczanie treści odbyło się już wtedy, a że treści publikowane przez pana Pawła zostały podmienione niedawno, gdy doszło do włamania. Wiadomo, że zhakowana zawartość znajduje się w serwisie od sierpnia, bo z cache Googla takie najdawniejsze daty udaje się odnaleźć.
Przy próbie przekazania informacji o sytuacji administratorom eFaktury pojawiało się natomiast to:
Ale to nie koniec problemów serwisu. Inna osoba zauważyła, że najwyraźniej równocześnie eFaktura została zhakowana przez hakerów indonezyjskich. Podpis świadczy o tym, że to odwet za „Bjorkę” – hakera upubliczniającego dane rządu Indonezji, który ma w lokalizacji na Twitterze ustawuona Warszawę. Widocznie sprawcy z Indonezji taką lokalizację jego działalności przyjęli za pewnik.
Nie wiadomo, czy incydent pojawił się poprzez przejęcie czyich uprawnień czy konta, a może jest to wykorzystanie jakiejś podatności. Jeśli to ostatnie, nie to ma pewności, że włamywacz zadowolił się jedynie wrzucaniem treści, by lepiej je pozycjonować. Wszystko dla lepszego SEO. Jednak istnieje obawa, że ktoś w serwisie umieścił złośliwy skrypt, którzy może przejmować wprowadzane lub wyświetlane dane. Chociaż nie ,a śladów, które na to wskazują, to użytkownicy serwisu eFaktura na pewno po tym wydarzeniu mają spore wątpliwości co do tego, że na serwisach rządowych ich dane są całkowicie bezpieczne.
Dzisiaj [22.09.2022 r.] po wejściu na stronę nie da się niczego wprowadzić, bo trwają na niej prace techniczne. Miejmy nadzieję, że oznacza to usunięcie wszelkich zagrożeń niezależnie, czy są to podatności serwisu czy umieszczone tam złośliwe skrypty.
Źródło: niebezpiecznik.pl