Programistyczny Monty Python. Jak (nie) działa polski Facebook?

Polski portal społecznościowy Albicla.com jest już dostępny w sieci, ale nie zaliczył udanego startu. Skopiowany regulamin Facebooka, problemy z rejestracją, atak trolli to tylko czubek góry lodowej problemów, z którymi strona zmierzyła się w przeciągu ostatnich godzin. 

Po tym, jak Donald Trump został zbanowany na największych portalach społecznościowych, w sieci zawrzało. Internauci głośno zaprotestowali głośno zaprotestowali przeciwko cenzurze w mediach.

Walka o polskiego Facebooka

Odpowiedzią na powyższe problemy na polskiej scenie miało być stworzenie przestrzeni wolnej od niesprawiedliwego traktowania użytkowników, czyli alternatywy do “monopolu cyberkorporacji”. Pierwszą próbą w tym zakresie został serwis Wolnislowianie.pl założony przez Stowarzyszenie „Królestwo Wolnych Słowian”. Jego start został ogłoszony na… YouTubie:

Portal długo jednak nie zagrzał miejsca w Internecie. Wystartował 11 stycznia, a od 14 stycznia, zarejestrowanie się w nim jest niemożliwe. Jak informują twórcy: “Trwają prace techniczne! Rejestracje otwieramy za kilka dni!”. 

Serwis został zawieszony krótko po tym, jak znany YouTuber Krzysztof Gonciarz, założył na nim swoje konto. Długo się nim nie nacieszył, gdyż został na nim zbanowany w przeciągu 24 godzin od założenia.

Jednak próby założenia portalu społecznościowego bez cenzury i wpływu wielkich korporacji na tym się nie skończyły. Z inicjatywy przedstawicieli Gazety Polskiej na czele z redaktorem naczelnym gazety Tomaszem Sakiewiczem ogłoszono start Albicli. Nazwa portalu wzięła się stąd, że „Albicla” w języku łacińskim oznacza skrót od nazwy „Orzeł biały” – „Albus Aquila”.

Trudny start Albicli

– Nasz portal społecznościowy wystartował. Po otwarciu go dla klubów „Gazety Polskiej” i gości naszych zjazdów otworzyliśmy go dla publicznego dostępu. Zainteresowanie było tak ogromne, że wielu z Państwa musiało trochę poczekać na rejestrację, za co przepraszamy. Ale to świadczy o wielkim sukcesie naszego medium – możemy wyczytać artykule “Tworzymy wolny świat w internecie” Tomasza Sakiewicza. – To największy sukces tego typu portalu w Polsce – dodaje.

Jak się jednak okazuje, internauci mają odmienne zdanie na temat portalu. Okazało się, że prócz problemów z rejestracją, z minuty na minutę pojawia się coraz więcej problemów. 

Regulamin skopiowany od konkurencji

Kolejna wtopa, którą wypatrzyli internauci, to regulamin serwisu. Z jego lektury można by wnioskować, że został on dosłownie skopiowany z regulaminu konkurencji, czyli z Facebooka. I o ile można w nim znaleźć podobne do siebie fragmenty lub nawet identyczne określenia, to jak zostało wskazane, nie są identyczne teksty, co potwierdził nawet redaktor naczelny Gazety Polskiej.

– Prawdopodobnie jakiś cytat mógł być identyczny, bo odnosił się do prawa europejskiego, ale generalnie rzecz biorąc są to kompletnie inne regulaminy odnoszące się do innych rzeczywistości prawnych – podkreślił Tomasz Sakiewicz.

Mimo to internauci nadal podważają to usprawiedliwienie. Szczególnie, że jak donosi jeden z użytkowników Twittera w regulaminie Albicli można znaleźć hiperłącza przekierowujące na konkretne podstrony portalu społecznościowego Marka Zuckerberga.

Kwestia skopiowania regulaminu od Facebooka to ledwo wierzchołek góry lodowej problemów z nim związanych. Internauci wyliczają, że mimo zapowiedzi braku cenzury oraz gwarancji, że serwis nie będzie banował kont użytkowników, regulamin zezwala w swoich zapisach na zablokowanie konta w przypadku niewłaściwego korzystania z Albicli.

Dodatkowo Sławomir Wikariak z Dziennika Gazety Prawnej wskazał, że zakładając konto na portalu, użytkownik godzi się na udostępnianie swoich danych osobowych dowolnej firmie współpracującej ze spółką Słowo Niezależne.

Atak internetowych trolli

Kolejnym problemem, z jakim mierzy się portal to wysyp trolli. Jak można było się domyślić, od momentu uruchomienia strony internauci z niebywałą energią ruszyli do zakładania na niej fałszywych kont. Nie było to szczególnie trudne, gdyż mimo wpisanego w regulamin zakazu posiadania kilku kont, nic nie stało na przeszkodzie, żeby założyć ich kilka. Nawet na jeden adres e-mail. 

Ponadto, początkowo hasło użytkownika nie miało limitu znaków, a nawet mogło zaczynać się od jednej litery czy cyfry, co również ułatwiało sprawę. Ułatwiało, ale także wzmagało kreatywność. Jedna osoba rzekomo miała wpisać w polu hasła całą treść Pana Tadeusza. 

Na efekty tej aktywności długo nie trzeba było czekać. Na portalu możemy znaleźć konta osób już nieżyjących, jak na przykład Lecha Kaczyńskiego, czy Jana Pawła II.

Jak na całą sytuację zareagował Tomasz Sakiewicz? – Tak jak się spodziewaliśmy, przeżywamy niebywały atak hakerów i trolli internetowych. Próbują nam przeszkadzać, jak się da, ale to świadczy też o naszej sile. Jednego im się nie udało: nie mogli nas przemilczeć. Problemy będą, bo od czego są wrogowie – komentuje.

Problemy z bezpieczeństwem

Nie zawsze świeżo uruchomiony projekt cieszy się 100% bezawaryjnością. Na nieszczęście, przydarzyło się to również w tym przypadku, czego świadkami jest cała społeczność polskich internautów. Ataki trolli czy doszukiwanie się nieścisłości w funkcjonalności nie jest niczym nowym w przypadku “kontrowersyjnych” portali. Jednak mimo zapewnień o wielkim sukcesie Albicli, trzeba być świadomym zagrożenia, jakie może wiązać się z korzystaniem z portalu.

Jak donosi Zaufana Trzecia Strona, serwis posiada pełno luk bezpieczeństwa, z czego dwie zdążył już opisać. Zarówno w jednym, jak i w drugim przypadku udowodnili, że każdy bezproblemowo mógł pobrać bazę użytkowników portalu. 

W pierwszym przypadku wystarczyło tylko wpisać:

https://albicla.com/imgcache/150×150/c/?appqsa=150×150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/public/!app/app.img.php

We wskazanym adresie można było znaleźć kod źródłowy serwisu. Z kolei po wpisaniu:

https://albicla.com/imgcache/150×150/c/?appqsa=150×150/c/../../../../../../../../../../../../../../var/www/vhosts/albicla.com/www/albicla.com/sites/settings_loc.inc.php 

Mogliśmy uzyskać plik z danymi konfiguracyjnymi serwisu.

Albicla luki bezpieczeństwa

Drugi przypadek opisany przez Zaufaną Trzecią Stronę również w sposób banalny pozwalał dostać się do danych wrażliwych. Wystarczyło w edytorze ciasteczek lub wierszu poleceń wbić komendę:

curl ‚https://albicla.com/dev/login’ -H ‚Cookie: debug=1’ 

W odpowiedzi na to można było dostać spory zbiór parametrów serwera, a w tym konfigurację najważniejszych ustawień.

Alarm podnosi także Niebezpiecznik:

Podsumowanie jakości portalu

Podsumowania fali wydarzeń, która przetoczyła się przez serwis podjął się jeden z użytkowników Reddita. Jego post znajdziecie tutaj, my zaś przytaczamy dodatkowe informacje, których nie rozwinęliśmy wyżej:

Można pobrać całą bazę użytkowników, bo nie jest w żaden sposób chroniona (poszło zgłoszenie do UODO, ale prezes UODO jest z PIS, tak że tego),

Jeśli chcecie pisać na wall’u osobie „nieznajomej” to klikacie „ppm -> zbadaj” na przycisk „opublikuj” (na swoim profilu). Następnie szukacie „input” w html który wam się otworzy i zmieniacie „Value” na id osoby na której profilu chcecie coś napisać.

Ktoś stworzył konto o nazwie „login”, po kliknięciu w jego profil zostajemy wylogowani,

Ktoś inny nazwał się „delete_account”, po kliknięciu w jego profil usuwamy swoje konto (i obecnie to chyba jedyna działająca metoda usuwania konta),

Przez noc przewinęło się pełno treści pedofilskich,

Inni nie mają z tym problemu, ponoć ktoś założył już 500 tys. multi kont (nawet po banie można się zarejestrować z tego samego maila),

Ponoć da się założyć konto bez nazwy, bez emaila i bez hasła. Wystarczy w źródle strony z pól input usunąć atrybut required.

 

Jak, naszym zdaniem, trafnie podsumował całą sytuację inny użytkownik Reddita: “Przecież to jest jakiś programistyczny Monty Python.”

 

[AKTUALIZACJA: 15:50]

Zaufana Trzecia Strona udostępniła kolejną podatność w systemie. Udało im się to po raz trzeci.


Zdjęcie główne artykułu pochodzi z albicla.com.

Zapraszamy do dyskusji

Patronujemy

 
 
More Stories
11 wywiadów z polskimi programistami na świecie, które najchętniej czytaliście w 2018 roku