Rządowa strona eFaktura.gov.pl od paru miesięcy służyła hakerom za baner reklamowy. Jak podał Niebezpiecznik.pl, hakerzy najpewniej dwa razy włamali się do serwisu, przejęli konto jednego z pracowników i wykorzystał je do spamowania treściami SEO. W chwili pisania tych słów witryna nie działa, co sugeruje odcięcie dostępu dla internautów w celu zbadania sprawy przez administratorów serwisu.

Rządowy serwis eFaktura.gov.pl w rękach hakerów

Jak podają specjaliści od cyberbezpieczeństwa, na stronie można znaleźć najróżniejsze reklamy – od polecających najlepsze serwisy dla osób homoseksualnych szukających partnera, przez artykuły o zdobywaniu partnerek z Azji czy Islandii, poradniki związkowe, po prezentowniki na Walentynki… 2012.

Artykuły nie są widoczne na głównej stronie serwisu, ale są już indeksowane w Google, a o to najpewniej chodziło hakerom. Z danych zebranych przez Niebezpiecznik wynika, że włamanie dotyczy jednego pracownika, pod którego konto podpięte jest ok. 700 treści tego typu.

Pierwszy „nietypowy” artykuł datowany jest na czerwiec 2021 r. Nie musi to jednak oznaczać, że spam wisi na rządowej stronie od ponad roku. Hakerzy mogą dość łatwo antydatować treści lub podmienić faktyczne artykuły z czerwca ubiegłego roku na treść reklamową. Pewne jest natomiast, że reklamy są na serwerach rządowych co najmniej od sierpnia 2022 r. Wtedy wpadły bowiem do indeksowania Google.

eFaktura.gov.pl zhakowana dwa razy?

Inny czytelnik Niebezpiecznika zwrócił uwagę, że na serwisie e-faktur widać też ślady bytności zupełnie innej grupy hakerskiej, prawdopodobnie z Indonezji. Ma im chodzić o odwet za akcję hakera Bjorka, który upublicznił niejawne dane indonezyjskiego rządu… jeśli wierzyć w pozostawioną na serwerze angielską wiadomość z wieloma błędami.

„Dzień dobry rządzie Polandii (sic). (...) Do rządu Polandii, prosimy o istnienie Bjorki w Polandii? Jeśli Bjorka w Polandii i jaki jest zamiar zhakowania dokumentów rządu Indonezji i dystrybucji na forum publicznym?!” – brzmi chaotyczna wiadomość.

Atak Indonezyjczyków miał nastąpić 14 września. Jedynym powodem wydaje się fakt, że konto Bjorki na Twitterze ma lokalizację ustawioną na „Warszawa, Polska” (co oczywiście nie musi być prawdą).

