Wpis z mikrobloga

Włamanie na testowy serwer Wykopu
Włamanie na testowy serwer Wykopu

Drodzy Wykopowicze.
Kilka tygodni temu odnotowaliśmy włamanie na jeden z serwerów testowych, na którym przygotowujemy nową wersję serwisu. Lukę naprawiliśmy bardzo szybko, jednak włamywaczom udało się pobrać starą kopię bazy danych, której tam używaliśmy.

W związku z próbami szantażowania Wykopu ze strony hackerów, zgłosiliśmy niezwłocznie zawiadomienie do organów ścigania. Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować. Sprawy potoczyły się jednak za daleko i należą Wam się słowa wyjaśnienia.

Felerna baza zawiera konta użytkowników zarejestrowane do 31 marca 2009 roku! W bazie zapisane były m.in. hasła do Waszych kont na Wykopie. Każde z haseł ze względów bezpieczeństwa, zostało zahashowane, więc nie można go po prostu odczytać. Jedyny sposób, to metoda prób i błędów zwana "brute force". W celu ochrony przed możliwymi konsekwencjami wycieku danych, wszystkie osoby, które zarejestrowały konto przed 31 marca 2009 roku prosimy o zmianę hasła (im więcej znaków w haśle, tym hasło bezpieczniejsze). Sprawdźcie również, czy nie używaliście tego hasła na innych serwisach.

Cała nasza firma, mimo weekendu, jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie tele
  • 329
@neoneo - masz rację, nie mamy nic na swoją obronę. Zawiodło ludzkie niedopatrzenie, z którego wyciągnąłem już konsekwencje. Od kilku godzin siedzimy nad sprawą, jednak oficjalne stanowisko mogłem napisać dopiero teraz, ze względu na wspomniane śledztwo.
czyli przestępcy przez kilka tygodni mieli dostęp do haseł nieświadomych użytkowników, a wy nie poinformowaliście ich ze względu na "dobro śledztwa"? rozumiem ze dobro użytkowników jest najniżej na waszej liście priorytetów
Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób.

Moim zdaniem ukrywanie tej informacji nie było fair. Powinniście w tym przypadku chociaż poprosić użytkowników o zmianę haseł. Poza tym, czy można nazwać to włamaniem? Serwer bazy wystawiony na świat, konto roota bez hasła.
A co będzie jeżeli ktoś przy pomocy haseł zdobytych na bazie wykopu zrobi np. zakupy na Allegro, obrazi znajomych via e-mail itd? Wykop poniesie odpowiedzialność? Zapłaci za mercedesy?
@t__d

Mam nadzieję, że te akcje organów ścigania nie są wymierzone w gościa, który dodał wykop - on raczej pomógł, bo złodzieje nie będą już mogli bezkarnie wykorzystywać tych danych.

Swoją drogą: miłego weekendu ;).
Jak admin premii nie dostanie? To następnym razem sprzeda bazę sam :P

Zrzutę zróbmy na premię dla admina, żeby chłopina się nie zdołował, bo takie przypadki zdarzają się często i nawet najlepszym :)
Kilka tygodni temu odnotowaliśmy włamanie

i trzeba było czekać aż ktoś to wszystko rozdmucha żeby ewentualnie powiadomić użytkowników o tym że ich hasła wyciekły? bardzo odpowiedzialnie.
Nie no jasne, śledztwo jest najważniejsze. Nawet jeśli wcześniejsza informacja wysłana do userów pozwoliłaby im na czas zmienić hasła na allegro, paypalu, itunesach i innych wrażliwych serwisach.
Ciekawy konflikt interesów - z jednej strony utajnienie karygodnego błędu administratora i wynikłego z tego włamania na kilka tygodni (rzekomo dla dobra śledztwa), a z drugiej narażenie nieświadomych temu użytkowników na znaczące straty (np. finansowe lub moralne) do czasu ujęcia winnych osób (które nie wiadomo czy kiedykolwiek nastąpi), podczas gdy baza poszła w świat. No doprawdy genialna logika.
Ja chciałem powiedzieć, że to tak krytycznie wygląda zazwyczaj z zewnątrz, a jeśli ktoś pracował w jakiejś firmie informatycznej, to może potwierdzić, że bajzel jest praktycznie wszędzie. Brak hasła na roota, czy brak soli mnie tak nie zaskakują, bo serwer był pewnie stawiany na szybko, a zmiany w założeniach przechowywania danych, które się kiedyś podjęło, to dość gruba sprawa.

Bardziej mnie dziwi, że serwer był widoczny z zewnątrz O_o I już nie