2009-09-06: Włamanie na jeden z testowych serwerów Wykop.pl

niedziela, 6 września 2009

Administratorzy serwisu Wykop.pl nawołują do jak najszybszej zmiany hasła dostępowego do tego serwisu i innych portali, w których było ono takie samo. Powodem jest mający miejsce ok. trzech tygodni temu atak hakerów, którzy wykradli bazę danych (ok. 100 tysięcy haseł).

Kilka tygodni temu odnotowaliśmy włamanie na jeden z serwerów testowych, na którym przygotowujemy nową wersję serwisu. Lukę naprawiliśmy bardzo szybko, jednak włamywaczom udało się pobrać starą kopię bazy danych, której tam używaliśmy.

W związku z próbami szantażowania Wykopu ze strony hackerów, zgłosiliśmy niezwłocznie zawiadomienie do organów ścigania. Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować. Sprawy potoczyły się jednak za daleko i należą Wam się słowa wyjaśnienia.

Felerna baza zawiera konta użytkowników zarejestrowane do 31 marca 2009 roku! W bazie zapisane były m.in. hasła do Waszych kont na Wykopie. Każde z haseł ze względów bezpieczeństwa, zostało zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana "brute force". W celu ochrony przed możliwymi konsekwencjami wycieku danych, wszystkie osoby, które zarejestrowały konto przed 31 marca 2009 roku prosimy o zmianę hasła (im więcej znaków w haśle, tym hasło bezpieczniejsze). Sprawdźcie również, czy nie używaliście tego hasła na innych serwisach.

— Tomasz Drożdżyński, właściciel serwisu Wykop.pl

Komentarze użytkowników serwisu na ten temat były różne:

Plansza, jaka pojawiła się w przerwie technicznej w serwisie wykop.pl (21 stycznia 2008), zob. Wykop "zachakierowany": dowcipny sposób na przerwę techniczną
  • Moim zdaniem ukrywanie tej informacji nie było fair. Powinniście w tym przypadku chociaż poprosić użytkowników o zmianę haseł. Poza tym, czy można nazwać to włamaniem? Serwer bazy wystawiony na świat, konto roota bez hasła (zaak).
  • A co będzie jeżeli ktoś przy pomocy haseł zdobytych na bazie wykopu zrobi np. zakupy na Allegro, obrazi znajomych via e-mail itd? Wykop poniesie odpowiedzialność? Zapłaci za mercedesy? (jurii)
  • Ciekawy konflikt interesów - z jednej strony utajnienie karygodnego błędu administratora i wynikłego z tego włamania na kilka tygodni (rzekomo dla dobra śledztwa), a z drugiej narażenie nieświadomych temu użytkowników na znaczące straty (np. finansowe lub moralne) do czasu ujęcia winnych osób (które nie wiadomo czy kiedykolwiek nastąpi), podczas gdy baza poszła w świat. No doprawdy genialna logika (fenrir).
  • Ja chciałem powiedzieć, że to tak krytycznie wygląda zazwyczaj z zewnątrz, a jeśli ktoś pracował w jakiejś firmie informatycznej, to może potwierdzić, że bajzel jest praktycznie wszędzie. Brak hasła na roota, czy brak soli mnie tak nie zaskakują, bo serwer był pewnie stawiany na szybko, a zmiany w założeniach przechowywania danych, które się kiedyś podjęło, to dość gruba sprawa. Bardziej mnie dziwi, że serwer był widoczny z zewnątrz O_o I już nie wiem, czy w takim razie cały Wykop w ogóle nie posiada swojego intranetu, czy jak, bo przecież gdyby miał, to wystawienie serwera na zewnątrz nie mogłoby być popełnione przez przypadek, a poprzez celowe działanie (Brut_all).
  • nie ustawić hasła na serwerze mysql'a :D niezła luka, niedbalstwo i wstyd na maxa co do "jedynej metody" bruteforce to kłamstwo, są przecież tzw. "rainbow tables" (qspy).
  • czyli przestępcy przez kilka tygodni mieli dostęp do haseł nieświadomych użytkowników, a wy nie poinformowaliście ich ze względu na "dobro śledztwa"? rozumiem ze dobro użytkowników jest najniżej na waszej liście priorytetów (bartus11).

Do tych i innych komentarzy odniósł się Tomasz Drożdżyński, który stwierdził, że "dobro użytkowników jest zawsze dla nas najważniejsze, jednak w tym przypadku było ono tożsame z dobrem śledztwa. To naprawdę skomplikowana sytuacja, nie mogłem ryzykować. Założyłem, że uda nam się szybko schwytać szantażystę i zapobiec wyciekowi danych do osób postronnych. [...] tablice tęczowe traktuję jako odmianę brute force". Dodał również, że "zawiodło ludzkie niedopatrzenie, z którego wyciągnąłem już konsekwencje".

O luce w dostępie do bazy danych poinformował Wykop.pl użytkownik o pseudonimie gimbus1xD: "zapewnił nas o braku złych intencji pod warunkiem "nietykalności". Ta osoba zachowała się honorowo, więc i my się tak zachowaliśmy wobec niej. Tego samego dnia jednak, doszedł do nas mail szantażysty, więc chcieliśmy za pomocą organów ścigania, doprowadzić do zatrzymania tej osoby, zanim dane przedostaną się do kolejnych osób. Dopiero po tym fakcie chcieliśmy poinformować Was o konieczności zmiany hasła. W tej chwili wszyscy zakładają, że gimbus1xD jest bohaterem uświadamiającym innych, jednak my nadal mamy podejrzenia, że jest to osoba stojąca za szantażem jedyną, która do tej pory, wykorzystała dane z naszej bazy. Nie chcę jednak nikogo osądzać, za wcześnie na to".

Gimbus1xD powiedział również, że posiadaczami kompletnej kopii bazy danych są prawdopodobnie xenu, czaks oraz mepholic (IRClog - "a" i "x3nU"). Stwierdził, że udostępniono mu 40 MB plik sql z tabelą "users" zawierającą informacje o użytkownikach i hasła do tej pory złamane (ok. 40%). IRClog z włamania znajduje się tutaj.

Źródła

edytuj