Drogi użytkowniku! Wykryłem, że korzystasz z AdBlocka. Nie zamierzam Cię blokować, gdyż jest to nie równa walka, zatem proszę Cię. Proszę Cię o to byś wyłączył AdBlocka w mojej domenie.
Witajcie. Dzisiejszy wpis bÄ™dzie o wycieku bazy danych z serwisu wykop.pl. CaÅ‚y BLIP oraz Wykop o tym aż huczy. ByÅ‚a to pierwsza wiadomość jakÄ… przeczytaÅ‚em dziÅ› wstajÄ…c. I niestety – czekaÅ‚a mnie zmiana haseÅ‚ w podobnych serwisach, bo do ważniejszych mam znacznie bardziej skomplikowane. Zapraszam
Jak to było?
WstaÅ‚em rano, i jak zwykle zaczÄ…Å‚em czytać wiadomoÅ›ci od bota blipowego. Kilka minut później przyszÅ‚a nowa, od bota ^wykop informujÄ…ca o wycieku bazy danych. PomyÅ›laÅ‚em sobie, że to jakiÅ› żart lub marna prowokacja. ZaczÄ…Å‚em czytać – byÅ‚em wtedy mobilny wiÄ™c caÅ‚y log z irca zamieszczony tam pominÄ…Å‚em, z lektury dowiedziaÅ‚em siÄ™ tyle, że wyciekÅ‚y hasÅ‚a, że afera i że skandal. PostanowiÅ‚em nieco zweryfikować tego kto to zrobiÅ‚, zapytaÅ‚em o podanie mojego adresu e-mail z posiadanej bazy wykopu (a jest to mail inny niż podawany przezemnie publicznie!). I co siÄ™ okazaÅ‚o?
(Chodzi tu oczywiście o użytkownika gimbus)
E-Mail zgadza się z tym na które mam zarejestrowane konto na wykopie. Niektórzy prosili także o swój hash i po porównaniu stwierdzali prawdziwość, ja natomiast pytając o adres potwierdziłem sobie, że ta osoba posiada bazę danych. W między czasie pojawił się wykop który sugerował, że wyciek danych to eksperyment, odetchnąłem na chwilę z ulgą jednak było to już po zmianie haseł. Szybko okazało się, że informacja o nieprawdziwości wycieku danych była fałszywa, zatem dane wyciekły.
OczywiÅ›cie zaczÄ…Å‚em na swój sposób przeciwdziaÅ‚ać zaraz po uzyskaniu informacji o wycieku – pytaÅ‚em każdego dostÄ™pnego na Jabberze / GG czy ma konto na Wykopie, i jeÅ›li tak informowaÅ‚em krótko o koniecznoÅ›ci zmiany haseÅ‚. Jeden tylko (nicka nie podam) poprosiÅ‚ o dowód, który to mu przedstawiÅ‚em i szybko ruszyÅ‚ do zmiany haseÅ‚. I w tym miejscu czujÄ™, że wielu udaÅ‚o mi siÄ™ ostrzec, bo nie wiedzieli nic o caÅ‚ej sprawie.
A przyczyna…
… jest bardzo prosta. Brak hasÅ‚a dla roota serwera bazy danych MySQL. Jak siÄ™ później okazaÅ‚o serwera testowego.
Co na to administracja?
Administracja milczaÅ‚a, pozostawiajÄ…c nas samym sobie. Nie wiedziaÅ‚a o niczym? WiedziaÅ‚a, bo osoby spamujÄ…ce pod tym wykopem byÅ‚y banowane, co byÅ‚o widać po zmianach koloru ich nicka, wiÄ™c coÅ› jednak robili. Dopiero o 18:54 opublikowano oÅ›wiadczenie potwierdzajÄ…ce wyciek danych – z serwera testowego (o czym dowiedziaÅ‚em siÄ™ od administracji na flakerze).
Możemy siÄ™ tam dowiedzieć, że staÅ‚o siÄ™ to wczeÅ›niej na serwerze testowym a organy Å›cigania w zwiÄ…zku z charakterem miÄ™dzynarodowym sprawy zabroniÅ‚y udzielać informacji. Jak czytamy kawaÅ‚ek dalej – “sprawy potoczyÅ‚y siÄ™ z daleko, i dlatego należą siÄ™ nam sÅ‚owa wyjaÅ›nienia”. Cóż no, lepiej późno niż wcale. Ale można byÅ‚o przecież wtedy już wysÅ‚ać e-maile z ostrzeżeniami. Administracja zapewnia także, że robi wszystko aby przeciwdziaÅ‚ać. Niestety – co raz zostaÅ‚o umieszczone w Internecie zostanie w nim na zawsze, moim zdaniem nic nie mogÄ… już zrobić. Poinformowali także o tym, ze hasÅ‚a sÄ… szyfrowane, a no chwaÅ‚a im za to, jakby byÅ‚y plaintextem mielibyÅ›my jednÄ… z wiÄ™kszych afer w Internecie. CaÅ‚e oÅ›wiadczenie można przeczytać tutaj.
Aktualizacja (20:42):
Właśnie dostałem maila od wykopu o następującej treści:
Witaj
W związku z włamaniem na jeden z testowych serwerów Wykop.pl, prosimy o jak najszybszą zmianę hasła do Twojego konta na Wykopie za pomocą formularza znajdującego się pod adresem: http://www.wykop.pl/user/change_password
Bliższe szczegóły dotyczące zaistniałej sytuacji opublikowaliśmy na naszym oficjalnym blogu: http://www.wykop.pl/blog/post/55
Przepraszamy za zaistniałą sytuację.
Administracja Wykop.pl
Jak widać proszą o zmianę hasła ale tylko na wykopie. A może by tak napisać o konieczności zmiany hasła w innych serwisach? Albo opisać szerzej w mailu dla tych
którym się nie zechce wchodzić? Może linki powinny linkować a nie być napisane?
Tak czy siak tego maila trzeba było wysłać wtedy, gdy to się stało a nie teraz gdy wyszło na jaw.
PodsumowujÄ…c
PodsumowujÄ…c caÅ‚Ä… akcjÄ™ – jestem zawiedziony bezmyÅ›lnoÅ›ciÄ… administracji wykopu. Pozostawienie MySQLa akceptujÄ…cego poÅ‚Ä…czenia z zewnÄ…trz bez hasÅ‚a roota to skandal, nawet pomimo tego, że w serwerze testowym. O i jeszcze jedno – kto o zdrowym umyÅ›le na serwer testowy importuje peÅ‚ne dane użytkowników? W mojej ocenie wystarczyÅ‚o zaimportować samÄ… strukturÄ™ + użytkownika admin (a no wÅ‚aÅ›nie, jego hasÅ‚em okazaÅ‚o siÄ™ “qwerty” – kolejna kompromitacja).
Na zakończenie życzę Wam wszystkim miłego zmieniania haseł, oraz załączam ankietę.
[poll id="6"]
Liczba odsłon: 26 843
Subskrybuj RSS
