Z niepozornej prośby o wsparcie rozpoczęła się historia, która mogła wstrząsnąć całym środowiskiem, które korzysta z oprogramowania FARA, znanego w polskich parafiach do zarządzania danymi wiernych. Gdy organistka zwróciła się do jednego z naszych Czytelników, Mateusza Sirko, o pomoc przy wdrożeniu tego programu, nikt nie spodziewał się, że odkryje on poważne niebezpieczeństwo.

Niebezpieczny Backdoor w Oprogramowaniu

FARA wymagał, aby klienci zamieszczali na swoich serwerach plik o nazwie 1-skrypt.php. Mateusz, przeglądając jego kod, szybko zorientował się, że to niepozorny plik skrywa poważną lukę. Po umieszczeniu go na serwerze parafii, otwierał on drzwi dla każdego, kto znał jego lokalizację, co łatwo było znaleźć w internecie.

Odkrycia przy użyciu Inżynierii Wstecznej

Aby sprawdzić głębiej, Mateusz zgłębił kod samej aplikacji FARA, zauważając, że została napisana w przestarzałym Visual FoxPro. Narzędzia do inżynierii wstecznej ujawniły szereg poważnych podatności, z których najbardziej niepokojące zawierały skrypty mogące pozwolić na wgrywanie złośliwego oprogramowania oraz stałe hasła do baz danych, które mogły być wykorzystane przez atakujących.

Atak i Reakcje Producenta

Mimo że Mateusz zgłosił te niebezpieczeństwa producentowi, jego reakcje były zaskakująco bagatelizujące. Po wielokrotnych próbach kontaktu, postanowił zgłosić sprawę do CERT Polska. Producent, zamiast podjąć współpracę, nie przyznał się do istnienia luk i zaatakował Mateusza, oskarżając go o nielegalne działania.

Długi Czas Naprawy i Ostateczne Zmiany

Po długiej koordynacji z CERT Polska, producent wreszcie przystąpił do działania, zmieniając hasła dostępu i wprowadzając dodatkowe zabezpieczenia w programie. Proces ten trwał jednak kilka miesięcy i miał wiele trudności technicznych. Dopiero po serii interwencji problemy zostały ostatecznie naprawione.

Co Po Zgłoszeniu?

Nawet po wydaniu aktualizacji i wydaniu oficjalnego identyfikatora podatności, producent nie poinformował swoich klientów o zagrożeniu, pozostawiając ich w niepewności. Mimo iż luka została załatana, zaufanie w relacji z klientami zostało poważnie nadszarpnięte.

Refleksje na Przyszłość

Historia FARA pokazuje, jak niewłaściwe reakcje na zgłoszenia błędów mogą prowadzić do poważnych konsekwencji. Bezpieczeństwo danych osobowych tysięcy parafian było poważnie zagrożone, a działania Mateusza i CERT Polska uratowały sytuację. Przykład ten utwierdza w przekonaniu, że każdy powinien z szacunkiem odnosić się do zgłoszeń swoich użytkowników, bowiem zaufanie raz utracone może być trudne do odbudowania.