Kto i w jaki sposób ukradł Legii bazę danych?

- Przed takim atakiem każdy programista, który tworzy stronę, powinien tę stronę zabezpieczyć. Jeżeli nie zabezpieczy, to jest to olbrzymi błąd w sztuce - mówi Warszawa.sport.pl Janusz Urbanowicz, specjalista ds. bezpieczeństwa w internecie. Wtóruje mu założyciel serwisu Niebezpiecznik.pl.
Niebezpiecznik.pl, serwis firmy zajmującej się audytami bezpieczeństwa i tzw. testami penetracyjnymi, w których - w celu wykrycia błędów - za pozwoleniem klienta próbuje się łamać zabezpieczenia sieci lub aplikacji, apelował we wtorek po południu, by opisując zdarzenie dotyczące warszawskiego klubu nie używać określenia "hakerzy zaatakowali Legię".

W dopisku do przedpołudniowej informacji o wycieku ze strony Legia.com Niebezpiecznik.pl pisał: "Prośba do dziennikarzy sportowych, których domeną nie jest bezpieczeństwo internetowe, a chcą opisać to zdarzenie. To nie "hackerzy zaatakowali serwery Legii", a przypadkowy/anonimowy internauta znalazł błąd. Znalazł, bo hobbystycznie niektórzy ludzie zajmują się wyszukiwaniem tego typu podatności."

"Wielce wątpliwe jest twierdzenie, że chodziło o "namierzenie/zemstę na dziennikarzach" albo, że atak miał podłoże "wojny kibiców". Niewątpliwie źle się stało, że zamiast poinformować właściciela bazy, opublikował on ją w internecie - wszystkim przypominamy, że za tego typu działania kodeks karny przewiduje długi pobyt na "ławce rezerwowych"..." - napisano na Niebezpiecznik.pl.

- Zawiadamiamy policję o popełnieniu przestępstwa - mówił po południu rzecznik Legii Michał Kocięba, choć policja do późnych godzin popołudniowych nie potwierdziła we wtorek, że takie zgłoszenie otrzymała. Za włamanie do bazy danych grozi kara do dwóch lat więzienia.

- Nie doszukiwałbym się w tym "włamaniu" sensacji - mówi Piotr Konieczny, współzałożyciel Niebezpiecznik.pl. - Błąd, za pomocą którego wykradziono dane akredytowanych dziennikarzy, to popularny błąd, zwany przez nas fachowo SQL injection. Jest on łatwy do wyeliminowania, ale niestety również do znalezienia. Możliwe, że ktoś znalazł go na stronie Legii podczas zakupów w sklepie internetowym - czasami zabawa parametrami, które widać w adresie URL przynosi ciekawe rezultaty.

- Błąd SQL injection jest prosty do wykrycia przez osobę z podstawową znajomością baz danych, a te zagadnienia poruszane są na praktycznie każdych studiach informatycznych - kontynuuje założyciel Niebezpiecznik.pl. - Metoda ataku SQL injection jest popularna i od lat opisywana w internecie, chwila z Google i każdy może być "włamywaczem", pod warunkiem, że znajdzie podatną na atak stronę.

Taką okazała się Legia.com, która - jak podaje Niebezpiecznik.pl - za pomocą SQL injection próbowano atakować kilka miesięcy wcześniej. - Za pomocą Google można odnaleźć ślady zapytania wyciągającego dane z bazy Legii, pochodzące z czerwca 2011 roku - mówi Konieczny. - Google zaindeksowało dyskusję na jednym z for internetowych. Dane dziennikarzy mogły być znane niektórym osobom już od kilku miesięcy.

Podwykonawcą elektronicznego systemu akredytacyjnego Legii, firmą Hive Sports&Media, nie udało nam się wczoraj skontaktować. Sportowa agencja interaktywna jest też partnerem technologicznym spółki Ekstraklasa SA, stworzyła oficjalną stronę internetową rozgrywek, a także współpracuje m.in. z Lechem Poznań, Polonią Warszawa, Koroną Kielce i najlepszym polskim napastnikiem Robertem Lewandowskim.