INTERNET, NOWE TECHNOLOGIE, WEBDEVELOPMENT, BADANIE INTERNETU

25 MAJA 2009  /  INTERNET  /  29 KOMENTARZY

LOGINY I HASŁA 50 TYSIĘCY UŻYTKOWNIKÓW POLSKIEGO PORTALU WYCIEKŁO DO SIECI

Niedawno złapałem się na tym, że używam w internecie jednego hasła do wielu stron z których korzystam, wliczając w to Allegro, Naszą Klasę i kilka for internetowych. Coś mnie tknęło i postanowiłem sprawdzić, czy moje hasło gdzieś nie wypłynęło. Otworzyłem google i wpisałem swoje hasło.

Wyskoczył jeden wynik: strona o nazwie hack-cośtam, a na niej... moje hasło, mój nick i mój adres e-mail!

Okazuje się, że członek pewnego zagranicznego kółka hakerskiego włamał się na jeden z czołowych polskich serwisów IT (którego nazwę pominę, aby zaoszczędzić wstydu właścicielom tego portalu), wykradł dane wszystkich użytkowników (ponad 50 tysięcy osób) i opublikował je na hakerskim forum. Osobnik ten miał ułatwione zadanie, ponieważ portal posiadał forum postawione bodajże na PhpBB, czyli najpopularniejszym sofcie do stawiania for i jednocześnie najbardziej dziurawym.


Screenshot strony z 50 tys. loginów i haseł do kont użytkowników polskiego portalu.

Szybko pozmieniałem swoje hasła do serwisów z których korzystam, ale na tym nie koniec. Postanowiłem coś z tym zrobić. Przecież loginy i hasła innych osób nadal były dostępne online. Na domiar złego, strona z hasłami wisiała już od ponad sześciu miesięcy. Zapewne większość osób ma jedno hasło do kilku serwisów, więc ktoś złośliwy wchodząc w posiadanie tych danych mógłby je wykorzystać do niecnych celów. Posiadając adres e-mail i hasło bez problemu można zalogować się na czyjeś konto w Allegro i wystawić fikcyjne aukcje lub opublikować na forum fikcyjną ofertę sprzedaży laptopa i zbierać przedpłaty.

Napisałem maila do administratora strony, kopię wysłałem również do głównych redaktorów portalu. W mailu napisałem między innymi, że pozostali użytkownicy powinni zostać poinformowani że ich hasła wypłynęły do sieci. Zaproponowałem, aby wysłali do wszystkich osób zarejestrowanych na forum informację, aby natychmiast pozmieniali swoje hasła w serwisach zewnętrznych, jeśli używają do nich tego samego hasła co do omawianego forum.

Po chwili dostałem odpowiedź od admina:

"Lukę dawno usunęliśmy i nie dotyczyła ani enginu portalu ani forum, błąd był w autorskim komponencie, który nie został zbyt dobrze przetestowany widocznie przez testerów. Przesyłanie informacji dalej jest moim zdaniem zbędne - luka dawno załatana, nie dotyczy ogólnie dostępnych komponentów i rozszerzeń, jest nie do powtórzenia na innych serwisach (nikt ode mnie nie dostał tych komponentów ani pozwolenia na ich użycie)."

Jak widać, główny webmaster nie rozumie powagi sytuacji. To że oni usunęli błąd w kodzie swojej strony nie zmienia faktu, że loginy i hasła ich użytkowników są publicznie dostępne! Co więcej, przy pomocy tych danych można zalogować się do ich serwisu na konto dowolnego użytkownika, czego przykładem był mój login i hasło.

Odpisałem więc administratorowi, że - z cały szacunkiem - ale ja nie zgłaszam się do nich w sprawie luki na serwerze, lecz publicznie dostępnej bazy loginów i haseł ich użytkowników. Ponownie zaproponowałem wysłanie powiadomienia do wszystkich użytkowników z prośbą aby pozmieniali swoje hasła do zewnętrznych serwisów. Dorzuciłem propozycję, aby pozmieniali hasła użytkownikom swojego portalu na losowe i kazali się przelogować.

Odpowiedzi nie otrzymałem.

Ale następnego dnia na mój adres e-mail podany na forum otrzymałem takiego maila od administratora (list wysłany do wszystkich użytkowników):

"W związku z wykryciem luki w bezpieczeństwie serwisu, mimo jej szybkiego załatania tuż po tym jak dowiedzieliśmy się o jej istnieniu, to nie można wykluczyć, że przez ten czas nie doszło do wycieku części danych z bazy. W związku z tym prosimy o jak najszybszą zmianę haseł na forum i portalu."

Prawie dobrze, ale szkoda, że poproszono o zmianę hasła tylko do ich portalu, a nie wspomniano w ogóle o tym, aby ludzie zmienili hasła także w innych serwisach z których korzystają, jeśli używają do nich tego samego hasła. Admin doskonale wie że wszystkie hasła już wyciekły, ale zamiast wyraźnie zaznaczyć że tak się stało (czerwony alarm - kto ma rozum, ten rzuca się do zmiany hasła), pisze jedynie że mogły wyciec, ale szansa na to jest bardzo mała, bo problem naprawiono od ręki (brak alarmu).

Zacząłem więc wysyłać prywatne maile do innych użytkowników informując ich o problemie. Odzew był taki, że byłem albo niemile odprawiany, albo proszony abym nie robił sobie żartów. Byłem również pytany o linka do strony z hasłami, celem udowodnienia że piszę poważnie. Oczywiście linka nie podałem i po kilkunastu mailach dałem sobie spokój (zresztą i tak nie dałbym rady powiadomić 50 tys. osób). Zrobiłem wszystko co mogłem: zmieniłem moje hasło do serwisów z których korzystam, poinformowałem redakcję portalu i ośmieszyłem się korespondując z użytkownikami. Z mojej strony sprawa została zamknięta.

Od tego wydarzenia minęło kilka miesięcy. Dostęp do hakerskiej strony z hasłami najpierw został zahasłowany, a wkrótce potem strona została usunięta. Podstrony zawierające hasła nadal są jednak dostępne online w postaci keszu google. Nie sprawdzałem czy ślady są dostępne w innych wyszukiwarkach oraz w serwisach typu webarchive, ale pewnie tak. Zapewne większość loginów i haseł z tej listy nadal jest aktualna i można przy ich pomocy zalogować się do nieszczęsnego portalu na cudze konto. Większość użytkowników ma pewnie konto w Allegro, więc posiadając ich adresy e-mail i hasła potencjalny przestępca może zacząć kraść pieniądze w ich imieniu.

Na koniec mam garść spostrzeżeń.

Po pierwsze, większość osób posiada trywialne hasło!

Przeanalizowałem pobieżnie tę część haseł którą zobaczyłem i mam przykre podsumowanie:

- większość osób używa haseł składających się tylko z małych liter (bez wielkich liter i cyfr),
- większość haseł to hasła trywialne i słownikowe.

Po drugie, zastanawiam się jaki jest sens rejestrowania się w serwisach i na forach, skoro większość postawiona jest na dziurawych programistycznych gotowcach, z których hasła mogą wyciec na setki różnych sposobów?

Po trzecie, wspólne hasła do wielu serwisów (forum, Allegro, NK, goldenline, poczta) posiada zapewne większość użytkowników. To straszne jak łatwo jest zdobyć dostęp do kont tylu osób. Jeśli założymy, że tylko co setna osoba z tej listy posiada to samo hasło do kilku serwisów, to i tak daje to 500 kont na które każdy może się zalogować.

Po czwarte, jaką odpowiedzialność ponosi w takiej sytuacji właściciel strony? Administrator opisanego portalu zachował się bardzo niepoważnie, ale kto wie ile takich osób pracuje przy innych stronach masowo gromadzących użytkowników?

Po piąte, hasła które wyciekną do sieci pozostaną w niej na zawsze, m.in. z powodu istnienia kesza wyszukiwarek.

Po szóste, o sprawie poinformowałem media oraz kilku blogerów, ale nikt nie pociągnął tematu.

Loginy, hasła i adresy e-mail ponad 50 tys. osób nadal są dostępne w sieci. Może ktoś ma pomysł co można z tym zrobić?

Sławomir Wilk
Komentarze:


Radykal2009-05-25 10:38
Jak to co zrobić? Zacznijmy zmieniać hasła. I robić totalne zamieszanie. Znam ten ból z próbą dotarcia do wiekszego grona odbiorców: "Co? Ja? Moje hasło? Moje hasło jest nie do złamania! kotek1 to przecież super bezpieczne hasło używam go na każdym portalu!" Wiem o co chodzi. Pies im morde lizał niech płaczą.
Albi2009-05-25 16:32
A przypadkiem phpBB nie przechowuje hash'a hasła? Jakim cudem więc byłeś w stanie znaleźć swoje hasło? To jakaś bzdura jest...
a2009-05-25 16:54
Podaj adres z tymi hasłami oraz jaki to portal. Przecież podając nazwę tego portalu pokazujesz użytkownikom jak portal dba o użytkowników
rumak2009-05-25 19:08
masz duzy palec albo nieźle ssasz.
Bo to opowiastka mocno wyssana z palca.
Zastanawiam się jaki cel miał autor, żeby pisać takie opowiadanie.
Tytuł posta faktycznie. Zwiększa klikalność. I na wykopie nawet klikają...
jj2009-05-25 19:27
pieknie, moje tez jest. co to za portal?
oburzona2009-05-25 19:28
wpisałam swój adres e-mail do wyszukiwarki i co - i jestem na tej liście wrrr. o tyle dobrze, że moje hasło było już zmienione i jest dostęp 'tylko' do telefonu, adresu i maila. Dziękuję Ci za nagłośnienie tej sprawy
anonymous2009-05-25 19:29
Nie for internetowych, a forów.
boczi2009-05-25 19:48
nie wiem po co o tym piszesz, nic nowego, skoro adresu tak amatorskiej strony nie ujawniłeś.
weirdo2009-05-25 19:51
Podaj nazwe portalu - umozliwisz ludziom zmiane hasel.
czopek2009-05-25 19:56
taki jesteś spryciarz, że w nagłówku strony podajesz swój email tekstowo hahaha

a ten system antyspamowy na komentarz też jest super! ciagle jeden plus dwa! haha
jarek2009-05-25 20:28
Portal to onet. Na zdjęciu nie są zamazane końcówki :D
Sławomir Wilk2009-05-25 20:37
Albi: nie wiem czy to było PhpBB, czy FunBB, czy coś innego, dlatego napisałem "bodajże PhpBB". Sam administrator portalu napisał, że problem leżał po stronie jakiegoś autorskiego komponentu. Tylko tyle wiem.

Rumak: możesz nie wierzyć, twoja sprawa.

Boczi, Weirdo, A: nie będę walczył w nie swojej sprawie, uważam że zrobiłem wszystko co do mnie należało, zwłaszcza że publikując linka mogę zostać przez kogoś oskarżony że opublikowałem cudze hasła, naraziłem na straty etc.

Czopek: nie widzę nic zdrożnego w podawaniu mojego maila tekstowo. Nie boję się spamu. A "system antyspamowy" to bardzo proste zabezpieczenie które stosuję na kilku innych stronach, które zatrzymuje zagraniczny spam lepiej niż captcha. Sprytu nie mierzy się tym, czy ktoś umie wstawić maila jako obrazek i wrzucić captcha do formularza. A jeśli już, to wolę nie być spryciarzem, ale umożliwić ludziom szybki kontakt ze mną (możliwość skopiowania adresu poczty) i szybsze umieszczenie komentarza (bo nie trzeba walczyć z captcha).
ktos2009-05-25 20:39
Taaaa... ciekawe jak im tak poszlo rozkodowanie 50k uzytkownikow z bodajze SH1 (jezeli jest to ten sam portal o ktorym mysle) juz pomijajac to, ze jezeli to dotyczy tego samego to historia zgadza sie moze w 5% reszta to jakas bzdura wyssana z palca, szczegolnie ten phpbb LOL miesiaca...
mroofka2009-05-25 20:46
Teraz poszło na wykop więc zaraz media zaczną kopiować to co napisałeś i dzięki temu może coś z tego wyjdzie
ktos2009-05-25 20:54
Problemem nie jest wyciek, bo wszedzie sie mozna wlamac i nie raz wyciekaja bazy, wlamuja sie na strony (chocby walesy ostatnio) problemem sa uzytkownicy a wlasciwie debile uzywajacy slownikowych hasel wszedzie gdzie popadnie, i czy to wina adminow ze padli ofiara wlamania, czy wina kretynow ktorzy znajac zycie maja hasla typu "jadzia" do NK, allegro i do banku zapewne.
Sławomir Wilk2009-05-25 21:34
Bardzo proszę o nie nadsyłanie w komentarzach linka do kesza google zawierającego stronę z wykradzionymi hasłami - takie komentarze (było już 5 takich wpisów) nie będą publikowane z wiadomych powodów.
Joe2009-05-25 21:37
Albi: funkcja md5() w php i masz wszytkie hasła na dłoni
xXx2009-05-25 21:39
ktos:

50k haseł w md5 więc przynajmniej od 70% do max 90-95% da się odzyskać w ciągu 5 dni
falcon2009-05-25 22:04
zgłoś to do giodo i tyle. podaj link do strony, czy zapytania na google.. niech obejrzą cache... oni tam wiedzą już co z tym robić. To jest odpowiedzialność z tytułu ochrony danych osobowych. Muszą się tym zająć natychmiast i wierz mi , że się zajmą.
potworek amatorek2009-05-25 23:10
@Joe - Ty weź lepiej się dokształć kolego - co za bzdury tu wypisujesz? Co masz na dłoni? Chyba kaktus :P
Hash to hash (no nie nie ten o którym myślicie kochani) i nie da się podglądnąć żadną funkcją...
ktos2009-05-25 23:32
falcon puknij sie w glowe. Widziales kiedys na oczy ustawe o ochronie danych osobowych ?

A tak w ogole dla wszystkich inteligentnych inaczej to przypominam, ze wszystkie adresy IP sa logowane i wszystkie proby wlamow na cudze konta zapewne zostana przekazane do odpowiednich sluzb, wiec nie wiem czy proby logowan na cudze konta z ktorych nie mozna zrobic niz wiecej niz z konta zalozonego w normalny sposob cos dadza poza problemami jakie mozna sobie narobic. IMO gra nie warta swieczki.
glupolek2009-05-26 01:16
@potworek amatorek:
nie wpadles na pomysl ze mozna poleciec md5() po slowniku i kombinacjach cyfr i liter - po 5 dniach masz cala baze hashow ktore mozesz porownywac
I idz wpierw do szkoły a potem obrażaj innych po forach zgrywając cwaniaka, bo sie osmieszasz chłopcze
johny2009-05-26 01:37
Hasła zapisane w postaci md5 da się odzyskać stosując dostępne w internecie tabele, starczy pogooglać. Było mi to w pracy potrzebne :)
zxxc2009-05-26 02:36
@potworek amatorek - tak ale hashe można łamać, a lista mogła trafić do netu już połamana...
azet2009-05-26 08:30
Na tych internetowych sztuczkach się nie znam, ale tak sobie myślę, że warto oddzielić karygodne dopuszczenie do wycieku takich danych od odpowiedzialności za to. Dużo zależy od tego co taki portal miał napisane w swoim regulaminie, który zazwyczaj użytkownik akceptuje logując się na stronę. Wystarczy w regulaminie wpisać coś w stylu "odpowiedzialność portalu za dane użyte przy rejestracji ogranicza się tylko do szkód wyrządzonych na i/lub w związku z tym portalem". Wówczas jeśli ktoś się podszyje pod pana X, zaloguje na ten portal i naobraża wszystkich innych, to portal musi wszystkich przeprosić, ale jeśli ten sam ktoś użyje tego hasła, żeby zalogować się na Allegro (bo pan X użył tego samego hasła i wystarczyło spróbować), to portal już nie ponosi odpowiedzialności za straty finansowe, bo w regulaminie się przed tym zastrzegł. Upraszczając nieco: firma montująca alarmy w domach jest odpowiedzialna za ich sprawne działanie, ale nie odpowiada za włamanie, jeśli właściciel lekkomyślnie ujawniał hasło komu popadnie.

Ergo: więcej winy ponoszą sami nieostrożni użytkownicy.

I dygresja: wydaje mi się, że login i hasło, a nawet adres mejlowy, to jeszcze nie są dane osobowe (wg definicji ustawowej).
Piotrek2009-05-27 00:37
tez bym był za podaniem nazwy portalu, jak się zbłaźnili niech cierpią, a np taki mały żuczek jak ja by wiedział ze musi zmienić wszystkie hasła.
usterk2009-05-28 21:49
Tak, giodo powinno sie tym zajac.
ee2009-05-29 03:37
A kto ustawia hasło do allegro takie jak do jakichś for internetowych? Myślę, że dużo osób używa prostych haseł do kont na forach które nie są szczególnie ważne a hasła do allegro czy nasza klasa są "mocniejsze", dłuższe, złożone z różnych znaków. Pozdr.
lejdeM2010-02-18 14:15
hmm ja już niewiem co mam o tym myslec , ale morze jest to racja bo ja mam problem z zalogowaniem do nk mialam nowe hasło i teraz jest inne jakby ktos szperał mi na nk i w dodatku niedotarł domnie link przypominający a czekam na niego od 5 ...beznadzieje...:/:/

Dodaj komentarz:

Podpis: (wymagane)
Adres Twojej strony WWW: (opcjonalnie)
Twój adres e-mail: (opcjonalnie)
Treść komentarza:
Antyspam: policz ile
wynosi jeden plus dwa:
(wymagane)