Hostinger

Dlaczego należy omijać z daleka tego pseudo usługodawcę?

Image for post
Image for post
piękne biuro.. szkoda, że puste

Wpis jest repostem, ponieważ Medium postanowiło usunąć poprzedni wpis.

„Na każdym zebraniu jest taka sytuacja, że ktoś musi zacząć pierwszy.” tak więc warto jest przedstawić czym jest Hostinger, a konkretniej Hostinger International Limited. Otóż jest to firma hostingowa zarejestrowana wygodnie na Cyprze prawdopodobnie w 2004 roku.

Hostinger posiada w swojej ofercie darmowe konta o pojemności 2GB oraz pakiety hostingowe i opcje zakupienia VPS (virtual private server).

Na opcję drugą skusiliśmy się ze znajomym niemal równo rok temu. Wersja biznesowa wydawała się spełniać nasze wymogi. Panel oparty na zmodyfikowanej nieco skórce cpanel pozwalał na wygodne zarządzanie. Serwisy nie były szczególnie wymagające, więc cóż.. żyć, nie umierać i faktycznie nie było źle. Do czasu.

Piszę całkiem poważnie. Nie sprawdzaj bezpieczeństwa na serwerze usługodawcy gdzie znajduje się twój serwis lub serwisy www, tym bardziej jeśli usługodawcą tym jest Hostinger. Napytasz sobie tylko biedy i zaryzykujesz utratą klientów i poniesieniem wysokich kosztów, które spadną na Ciebie z ich strony gdy serwisy www będą leżały martwym bykiem, a Ty będziesz użerać się z Panią Ingą z działu wsparcia, która sprawia wrażenie automatu, ale jak się okazało nim nie jest. Nie jestem w stanie określić na ile była nauczycielka jest kompetentna aby weryfikować zgłoszenia w skali całego kraju ale ok, nie wnikamy.

Otóż system obsługujący konta hostingowe, nie powinien pozwalać na dodanie domeny lub domen, które są przypisane do znanych globalnie lub lokalnie (w skali kraju) firm. Czyli np. nie można dodać google.com, gmail.com itd. System powinien poinformować, że dany adres należy do puli zastrzeżonych / zabronionych i uniemożliwić tym samym dalsze działanie.

W wypadku Hostingera, test przeprowadzony na koncie, które było w moim posiadaniu wykazał, że o ile tych “największych” nie można dodać, to już z lokalnymi (krajowymi) są sytuacje, że nie ma problemu. Przykładowo interia.pl.

Co wtedy?

Wtedy po dodaniu takiej domeny do listy przypisanych do swojego pakietu hostingowego, możemy w skali sieci lokalnej, a więc całej sieci należącej do hostingera (nie tylko w Polsce) ustawić sobie skrzynkę catch-all.

Co spowoduje takie działanie?

Ano spowoduje ono to, że ktokolwiek posiadający konto i skrzynkę e-mail przypisaną do swojej domeny (niezależnie jaką) na Hostingerze, wysyłając wiadomość e-mail do kogokolwiek w domenie interia.pl wyśle wiadomość bez komunikatów błędu, jednak trafi ona nie do adresata, ale do nas.

Dzieje się tak dlatego, ponieważ system podejmuje najpierw próbę wysyłki lokalnie weryfikując, czy dana domena nie znajduje się w puli tych dodanych przez klientów / użytkowników, a dopiero gdy jej nie znajdzie wykonuje próbę wysyłki wiadomości na zewnątrz. Innymi słowy, wiadomość w opisanej wyżej sytuacji nie opuszcza sieci lokalnej usługodawcy i zostaje poprawnie dostarczona bez zwrotki komunikującej problem.

Image for post
Image for post
Luka bezpieczeństwa, która może wiele kosztować

Zagrożenie tego typu jest spore jak zapewne się domyślacie, ponieważ o ile ktoś może przesłać w mailu zdjęcie swojego kota czy nowej torebki, którą udało się kupić w promocji, wiadomości mogą również zawierać dane wrażliwe jak dane adresowe, informacje dot. kont bankowych i inne “intymne” treści. Uprzedzając pytania, catch-all wychwycił jedynie kilka wiadomości dotyczących transakcji na allegro itp. pierdół. Zaskoczeniem oczywiście było to, że test przyniósł jakikolwiek efekt. Co gdyby ktoś podał inne dane i ktoś przechwycił je mając na celu wyrządzenie szkód? Czy Hostinger by odpowiedział i poniósł koszty?

Wystarczy wiedzieć, że dana osoba “hostuje się”na Hostingerze, zakupić konto, ustawić tego typu przechwytywanie i tym sposobem ubić rozmowy z konkurencyjną firmą i przejąć zlecenie.

Dlaczego testowaliśmy?

Ponieważ pomijając dużych graczy (adresy obsługujące tysiące skrzynek), ktoś równie dobrze mógłby dodać sobie domenę należącą do nas i na poziomie sieci Hostingera oczywiście przechwytywać wiadomości kierowane do naszych klientów zawierające np. umowy. Cholernie proste prawda? Wystarczy wiedzieć, że dana osoba “hostuje się” na Hostingerze, zakupić konto, ustawić tego typu przechwytywanie i tym sposobem ubić rozmowy z konkurencyjną firmą i przejąć zlecenie. To tylko przykład, ale dość realny, ponieważ szczerze wątpię, że Hostinger byłby w stanie wykryć, że podjęto takie działanie w stosunku do wiadomości wysyłanych do adresatów w domenie pcin-dolny.pl

17 sierpnia na moją skrzynkę trafiło 47 wiadomości (tyle domen / serwisów było na tym koncie) o treści:

Twoje konto hostingowe zostało zawieszone.
Poniżej znajdują się dane tego konta:

Plan Hostingowy: Biznes
Domena: nazwa-domeny.pl

Termin Płatności: 2016–11–06 04:16:00
Powód: Nadużycia
Dodatkowe Informacje:

Proszę skontaktować się z nami możliwie jak najszybciej, aby przywrócić działanie swojej strony.

Proszę skontaktować się z nami możliwie jak najszybciej, aby przywrócić działanie swojej strony.
(tak — ostatnie zdanie dwa razy)

Krótko mówiąc za poważną lukę w systemie bezpieczeństwa ukarany został klient, a w zasadzie klienci. Treść jak widzicie nie zawiera powodu ani nie komunikuje, że domena, której dodanie może mieć potencjalnie negatywne skutki została usunięta i możliwość ponownego jej dodania zablokowana, a po prostu.. całe konto, domena za domeną zostało administracyjnie unieruchomione.

Ktoś może oczywiście stwierdzić, że jesteśmy sami sobie winni podejmując tego typu testy. Nie neguję tej częściowej racji, co nie zmienia jednak faktu iż błąd tkwi i jak sądzę jest w dalszym ciągu obecny w systemie usługodawcy. Pojawia się więc pytanie dlaczego klient ma być karany za nie swoje niedopatrzenie dość dużej wagi?

Zgłoszenia na Polskę obsługiwane są przez jedną osobę — Panią Ingę B., która jak uznałem w pewnym momencie jest tylko nickiem/duchem i odpisują pod nim różne osoby. Małe śledztwo, które przeprowadziłem wykazało jednak, że osoba taka faktycznie pracuje w Hostingerze i nie jest tylko randomową twarzą na liście teamu.

Image for post
Image for post
kontakt z Hostingerem kultywuje jedynie nawyk palenia.. z nerwów

Mając doświadczenie w pracy we wsparciu w tej branży, zastanawiam się co konkretnie kierowało działem HR, ponieważ pomoc jest żadna, a udzielane odpowiedzi tak zdawkowe, że nawet ocean spokoju zaczyna szlag trafiać. Jak będziecie mogli zapoznać się z korespondencją na końcu tego wpisu, na początku faktycznie nie wiedziałem o co chodzi. Dopiero nazajutrz w wiadomości już od Pana Dariusza G. — Managera, okazało się, że to testy były winne, co obsługa potwierdziła sama w przesłanej wiadomości, potwierdzając jak sądzę niechcący istnienie luki bezpieczeństwa.

(…)Also we see a lot of domain names such as gmail.pl, o2.pl which is fraudulent. /Darius G. Hostinger Manager

W międzyczasie dowiedziałem się również, że nie mam prawa do odzyskania swoich materiałów zarówno od Pani Ingi B., jak i Pana Dariusza G. Dopiero informacja o podjęciu kontaktu z prawnikiem (Jakubem Kralką — polecam) i potencjalnym wytoczeniu sprawy względem odszkodowań, gdy klienci serwisów znajdujących się na wspomnianym koncie hostingowym zgłoszą się do mnie z roszczeniami, co było tuż za rogiem, poskutkowała.

Udało się odzyskać.. pliki. Dokładnie, tylko pliki. Gdy wiadomo, że większość obecnie działajacych serwisów www opiera się również na bazach danych, gdzie zawarte są treści, konfiguracje serwisów itd. Krótko mówiąc radość z otrzymanej listy plików do pobrania nie trwała długo. Dodać należy, że nie wiem, czy na złość, czy omyłkowo lista, którą otrzymałem domyślnie kierowała na 404 i jedynie próba na chybił-trafił wykazała, że należy dodać .tar do linków, aby móc cokolwiek pobrać.

Finalnie po wskazaniu listy baz najważniejszych do odzyskania, udało mi się wyprosić linki, umożliwiające ich pobranie. Serwisy naszych klientów były niedostępne w niektórych wypadkach blisko tydzień, w innych niemal dwa tygodnie, ponieważ odtworzenie posiadając już niezbędne materiały również zajmuje nieco czasu.

Image for post
Image for post
pozostaje jedynie spojrzenie z niedowierzaniem wobec braku kompetencji..

Daliśmy dupy jako klienci — tak. Okazuje się, że nie powinno się testować pod żadnym względem usług, za które się płaci i na których się polega, w tym własną głową stawiając serwisy klientów. Może to się skończyć tym, że wina za błędy usługodawcy spadnie.. na nas.

Widząc informację o wykonywanych kopiach zapasowych, warto zastanowić się co nam po nich w systemie usługodawcy (nawet jeśli utrzymywane są zgodnie z prawidłami na zewnętrznych maszynach, a sądzę, że tak jest w większości wypadków, choć po Hostingerze już wszystkiego jestem się w stanie spodziewać), bądź ostrożny i mimo wszystko co najmniej raz w tygodniu wykonuj własne kopie.

Jeśli skutkiem wykonywania takich kopii, będzie podniesienie kosztów wobec klientów, którzy jak wiadomo nie są chętni, aby wydać kilka monet więcej, trudno. Dobrze jest wtedy poinformować, że jeśli usługodawca przywłaszczy sobie dane, będziemy w czarnej.. puszczy.

Krótko mówiąc, uważaj na tyły i nie pchaj się w konta na Hostingerze bez względu na ofertę, budżet klienta, czy cokolwiek.

Image for post
Image for post
pobierz, aby przeczytać korespondencję — http://www.pixhoster.info/f/2016-10/b412cdc8037649761e3745fc1e9a17b4.jpg
Image for post
Image for post

Hiki Bloguje

Na temat i bez tematu, gdy zachce się coś napisać… oj tam…

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store