Wczoraj IAI odtrąbiło pierwszy sukces (http://goo.gl/XlN3n) w sprawie przeciwko Google Poland. Firma weszła na wojenną ścieżkę, ponieważ w styczniu 2012 roku wejście na jakąkolwiek stronę sklepu opartego na silniku IAI-Shop w tym i na główną stronę IAI, poprzedzone było informacją o podejrzeniu wyłudzania danych. Dla niezorientowanych w temacie jasno wynika, że “Google zablokowało strony IAI i wszystkie ich sklepy”. Taka fama jest z powodzeniem promowana w poczytnych mediach.
Temat jest potraktowany bardzo powierzchownie, ale przecież nie liczy się rzetelność tylko okazja do dowalenia gigantowi.
Mógłbym przekręcić fakty, więc będę się posiłkować informacjami z innych źródeł.
Z pierwszego komunikatu (http://goo.gl/HGTt4) IAI-Shop dowiadujemy się, że od 6 stycznia w przeglądarce Chrome i Firefox dla niektórych domen pojawiły się informacje ostrzegające przed wyłudzaniem danych.
Jak do tego doszło?
Aby zrozumieć co się tak naprawdę stało, musimy najpierw zrozumieć co to jest phishing i jak działa. Za Wiki:
w branży komputerowej wyłudzanie informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. […] Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje – adres do niej był podawany jako klikalny odsyłacz w poczcie phishera – jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze (w 2004 r. ponad 90% rynku przeglądarek), który pozwalał zamaskować także rzeczywisty adres fałszywej strony. Innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób – na przykład www.paypai.com zamiast www.paypal.com.
Jak to wygląda technicznie?
Na przykład, mamy “oryginalną” stronę sklepu internetowego z domeną mojsklep.pl, z której odbywa się logowanie do panela administracyjnego znajdującego się na innej domenie, np. mojsklep.naszeswszystkieklepy.com.
Domena “łudząco podobna” do “oryginalnej” przechwytuje login i hasło i to z tysięcy (1,5tys) sklepów. Schemat działania jest więc czytelny i (moim zdaniem) tylko dodanie domeny naszewszystkiesklepy.com do listy zaufanych domen w bazie Google Safe Browsing mogłoby ją całkowicie zabezpieczyć przed “fałszywymi” komunikatami. A co, jeśli doszłoby faktycznie do zainfekowania plików na serwerze? Internauci nie zostaliby w porę ostrzeżeni przed potencjalnym zagrożeniem…
Wróćmy do Google Safe Browsing. Baza musi być faktycznie dobra, skoro korzystają z niej nie tylko Chrome, ale Firefox oraz Safari. To przeglądarki korzystają z bazy GSB i w razie potrzeby wyświetlają komunikat z ostrzeżeniem. Czy w tym przypadku dał ciała?
Mechanizm GSB jest oficjalnie znany, podobnie jak mechanizm phishingu. Wprowadzenie takiego samego schematu logowania się do panela administracyjnego oprogramowania sklepu jest wpadką programistów, do której nie wszyscy chcą się głośno przyznać.
Zbieżność powyższych wyjaśnień z przypadkiem IAI-Shop czysto przypadkowa.
Wróćmy do najnowszych informacji.
W informacji prasowej czytamy:
“Jednym z kroków prawnych podjętych przez pełnomocników IAI było skierowanie sprawy do sądu powszechnego. Dzisiejsze postanowienie sądu nakazujące usunięcia skutków awarii i trwałego usunięcia wszelkich wpisów mogących powodować tego typu działanie jest ważnym krokiem zmierzających do finału sprawy pomyślnego dla IAI. “
Nie wiem o jakie usunięcie skutków awarii chodzi, ale jeśli o ostrzeżenie, które wyświetlały przeglądarki, to znikło ono ok 10 stycznia. Jeśli zaś chodzi o “utratę dobrego imienia” i “powstanie realnych strat finansowych” to robi się ciekawie i chyba wszyscy czujemy w powietrzu zapach pieniędzy.
O tym jednak piszą wszyscy, więc czas zajrzeć do Postanowienia zabezpieczającego sądu przeciwko Google. W uzasadnieniu czytamy:
“W uzasadnieniu wniosku wnioskdawca wskazał, że w dniu 5 stycznia 2012 roku mechanizm należący do Google Poland sp. z o.o. – Google Safe Browning, mający na celu blokowanie stron internetowych wyłudzających dane (phishingu), zablokował w wyszukiwarkach internetowych Google Chrome, Mozilla Firefox oraz Safari stronę firmową spółki IAI oraz ponad tysiąca obsługiwanych przez nią sklepów.”
Nie wiem co to Google Safe Browning, ale nazwa łudząco podobna do Google Safe Browsing. Nawet jeśli o to chodzi, to ciekaw jestem co ma wspólnego polska spółka z o.o. z tą usługą. Wkrótce się dowiemy;)
“W konsekwencji zamiast stron internetowych tych sklepów oraz strony wnioskodawcy przez okres kilku dni w wymienionych przeglądarkach widniała informacja, że dana strona internetowa wyłudza dane w wyszukiwarkach internetowych. Informacja ta pojawiała się również na aukcjach Allegro.”
Wyłudza dane w wyszukiwarkach???
“Wnioskodawca zwracała się pisemnie do pozwanej o zaprzestanie naruszeń oraz zrekompensowanie wyrządzonej szkody, jednak pozwana odniosła się negatywnie do przedmiotowego wezwania, a co więcej nie zniosła blokady na wielu jeszcze stronach internetowych wnioskodawcy”
Zawsze wiedziałem, że Google jest kobietą!
“Powyższe bezprawne i niestaranne działania Google Poland doprowadziło do powstania szkody po stronie wnioskodawcy oraz tysięcy sklepów internetowych, które są przez niego reprezentowane”
Jeśli dojdzie do wyceny szkody w stosunku do każdego poszkodowanego sklepu, to możemy mieć jeden z głośniejszych pozwów na wysoką kwotę.
W sumie to IAI ma dużo szczęścia, że jej klienci nie wytoczyli sprawy o sprzedaż wadliwego produktu, który od początku działał w sposób narażający na “zablokowanie” w opisany sposób. To producent powinien dopilnować, aby produkt nie działał na szkodę klientów, co niewątpliwie tutaj miało miejsce.