2009-09-06: Włamanie na jeden z testowych serwerów Wykop.pl
Administratorzy serwisu Wykop.pl nawołują do jak najszybszej zmiany hasła dostępowego do tego serwisu i innych portali, w których było ono takie samo. Powodem jest mający miejsce ok. trzech tygodni temu atak hakerów, którzy wykradli bazę danych (ok. 100 tysięcy haseł).
Komentarze użytkowników serwisu na ten temat były różne:
- Moim zdaniem ukrywanie tej informacji nie było fair. Powinniście w tym przypadku chociaż poprosić użytkowników o zmianę haseł. Poza tym, czy można nazwać to włamaniem? Serwer bazy wystawiony na świat, konto roota bez hasła (zaak).
- A co będzie jeżeli ktoś przy pomocy haseł zdobytych na bazie wykopu zrobi np. zakupy na Allegro, obrazi znajomych via e-mail itd? Wykop poniesie odpowiedzialność? Zapłaci za mercedesy? (jurii)
- Ciekawy konflikt interesów - z jednej strony utajnienie karygodnego błędu administratora i wynikłego z tego włamania na kilka tygodni (rzekomo dla dobra śledztwa), a z drugiej narażenie nieświadomych temu użytkowników na znaczące straty (np. finansowe lub moralne) do czasu ujęcia winnych osób (które nie wiadomo czy kiedykolwiek nastąpi), podczas gdy baza poszła w świat. No doprawdy genialna logika (fenrir).
- Ja chciałem powiedzieć, że to tak krytycznie wygląda zazwyczaj z zewnątrz, a jeśli ktoś pracował w jakiejś firmie informatycznej, to może potwierdzić, że bajzel jest praktycznie wszędzie. Brak hasła na roota, czy brak soli mnie tak nie zaskakują, bo serwer był pewnie stawiany na szybko, a zmiany w założeniach przechowywania danych, które się kiedyś podjęło, to dość gruba sprawa. Bardziej mnie dziwi, że serwer był widoczny z zewnątrz O_o I już nie wiem, czy w takim razie cały Wykop w ogóle nie posiada swojego intranetu, czy jak, bo przecież gdyby miał, to wystawienie serwera na zewnątrz nie mogłoby być popełnione przez przypadek, a poprzez celowe działanie (Brut_all).
- nie ustawić hasła na serwerze mysql'a :D niezła luka, niedbalstwo i wstyd na maxa co do "jedynej metody" bruteforce to kłamstwo, są przecież tzw. "rainbow tables" (qspy).
- czyli przestępcy przez kilka tygodni mieli dostęp do haseł nieświadomych użytkowników, a wy nie poinformowaliście ich ze względu na "dobro śledztwa"? rozumiem ze dobro użytkowników jest najniżej na waszej liście priorytetów (bartus11).
Do tych i innych komentarzy odniósł się Tomasz Drożdżyński, który stwierdził, że "dobro użytkowników jest zawsze dla nas najważniejsze, jednak w tym przypadku było ono tożsame z dobrem śledztwa. To naprawdę skomplikowana sytuacja, nie mogłem ryzykować. Założyłem, że uda nam się szybko schwytać szantażystę i zapobiec wyciekowi danych do osób postronnych. [...] tablice tęczowe traktuję jako odmianę brute force". Dodał również, że "zawiodło ludzkie niedopatrzenie, z którego wyciągnąłem już konsekwencje".
O luce w dostępie do bazy danych poinformował Wykop.pl użytkownik o pseudonimie gimbus1xD: "zapewnił nas o braku złych intencji pod warunkiem "nietykalności". Ta osoba zachowała się honorowo, więc i my się tak zachowaliśmy wobec niej. Tego samego dnia jednak, doszedł do nas mail szantażysty, więc chcieliśmy za pomocą organów ścigania, doprowadzić do zatrzymania tej osoby, zanim dane przedostaną się do kolejnych osób. Dopiero po tym fakcie chcieliśmy poinformować Was o konieczności zmiany hasła. W tej chwili wszyscy zakładają, że gimbus1xD jest bohaterem uświadamiającym innych, jednak my nadal mamy podejrzenia, że jest to osoba stojąca za szantażem jedyną, która do tej pory, wykorzystała dane z naszej bazy. Nie chcę jednak nikogo osądzać, za wcześnie na to".
Gimbus1xD powiedział również, że posiadaczami kompletnej kopii bazy danych są prawdopodobnie xenu, czaks oraz mepholic (IRClog - "a" i "x3nU"). Stwierdził, że udostępniono mu 40 MB plik sql z tabelą "users" zawierającą informacje o użytkownikach i hasła do tej pory złamane (ok. 40%). IRClog z włamania znajduje się tutaj.
Źródła
edytuj- t__d – Włamanie na testowy serwer Wykopu – wykop.pl, 5 września 2009
- Uważaj! Hakerzy wykradli tysiące haseł – dziennik.pl, 6 września 2009
- Zrzut z rozmowy z osobą która posiadała dostęp do wykradzionej bazy danych Wykop.pl (gimbus1xD występuje jako zywegowno_xD, znany również jako szałwia) - informacja od savavido – xinfo.eu