Len pred troma dňami som písal o tom, že MySpace odignorovalo závažnú bezpečnostnú chybu, ktorá viedla k odcudzeniu viac než pol milióna fotografií a dnes som objavil ďalší portál, ktorý zámerne ignoruje bezpečnosť svojich užívateľov. SmugMug je veľmi populárny portál, ktorý spravuje viac než 230 miliónov fotografií.

Narozdiel od zraniteľnosti na MySpace je tá na SmugMugu ďaleko horšia, pretože ju tvorcovia vytvorili zámerne. Že nemôžete uveriť? Nuž, ani ja som nemohol. Ale začnem postupne. SmugMug je portál, ktorý umožňuje ukladanie osobných ale aj profesionálnych fotografií a tie následne zdielať, alebo predávať. Vďaka celkom príjemnému prevedeniu portálu a kvalitnému spracovaniu, do dnešného dňa spravuje portál viac ako 230 miliónov amatérskych a profesionálnych fotografií. Portál je samozrejme platený a autori sa hrdo podelili o štatistiky svojich užívateľov. Z nich sa môžete dozvedieť, že portál má 27 zamestnancov, 350,000 platiacich užívateľov a samozrejme 230 miliónov fotografií. Preto je až nepochopiteľné, ako mohli autori odignorovať súkromie svojich užívateľov. SmugMug patrí medzi tie “veľké” portály, jeho Alexa rank je 2,406.

Portál umožňuje uložiť fotky do galérii a neskôr s nimi pracovať. Jednotlivé galérie majú tri “stavy” bezpečnosti. Public, fotografie môže vidieť ktokoľvek. Private, fotografie sú len pre vybraných známych. Password protected, galéria je uzamknutá a pre prezeranie fotografií je potrebné heslo. Prvý a posledný “stav” fungujú výborne. Ak je galéria otvorená pre širokú verejnosť, nie je bezpečnosť žiadnym problémom. Pri uzamknutí galérie sa fotografie stávajú neprístupnými a nie je ich možné zobraziť (zadaná url vracia chybu HTTP 404 (nenájdené)). To je veľmi uspokojivé, keďže ste sa rozhodli chrániť fotografie svojich užívateľov. Bohužiaľ, ak ste si vybrali “stav” druhý, private, vaše fotografie sú i tak bežne dostupné ktorémukoľvek návštevníkovi so štipkou znalosti HTTP protokolu.

Sám som sa zaregistroval a vytvoril si základnú galériu vo všetkých troch “stavoch”. Je veľmi zaujímavé, že tvorcovia o tejto chybe museli vedieť, keďže si dali záležať na ošetrení zaheslovanej galérie. Ku privátnym fotkám sa môžete dostať jednoducho po zadaní rastúceho čísla. Príkladom môže byť:
http://smugmug.com/photos/124759303-L.jpg

http://smugmug.com/photos/248289304-L.jpgMôj obrázok z galérie typu “private” si môžete pozrieť tu (logo strýčka Google). Takouto postupnosťou môžete prejsť prakticky skoro celú databázu obrázkov. Ukazovateľ veľkosti obrázku je písmenko na konci, kde -L predstavuje veľký obrázok, -O predstavuje originál. Prešiel som svojím robotom asi 100,000 obrázkov, ktorý len kontroloval, či dostane chybu 404 a ani jediný krát sa s ňou nestretol. To znamená, že prvých 100,000 obrázkov je voľne dostupných pre stiahnutie.

Na čo tvorcovia mysleli pri tomto opatrení, neviem. Bohužiaľ na tento diletantský prístup doplatia užívatelia, ktorí za možnosť používať tento portál ešte aj platia. Nie je to tak dávno, čo podobným problémom trpel aj u nás známi portál Azet.sk. Myslím si, že problémom bude nedostatočná skúsenosť programátorov, ľahká dostupnosť veľkých frameworkov a veľké množstvo open-source aplikácií. Takto je možné zostaviť web za deň či dva a bezpečnosťou sa zaoberať až po jeho spustení. Kto je však zodpovedný pri vzniknutej ujme? Vtedy tvorcovia dávajú ruky preč a s úsmevom na tvári oznámia: “Ten projekt som nebudoval ja, to niekto iný. Ja som len použil to, čo on už vytvoril”. Samozrejme, že výhovoriek je veľa a zodpovednosť nikde. Som zvedavý, ktorý ďalší portál ma poctí svojím “kvalitným” zabezpečením.