przede wszystkim należą Wam się przeprosiny, że tak długo musieliście czekać na wyjaśnienie. W pierwszej kolejności skupiliśmy się na ustaleniu przyczyny problemu, a gdy ten był nam już znany, priorytetem stało się zabezpieczenie przejętych kont.
Podkreślić należy jednak, że nie doszło do wycieku bazy danych Wykopu. Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami. Atak przeprowadzono w sposób, który nie powodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność.
Jak zauważyliście, przejęte konta zostały przez nas zbanowane, aż nie uzyskamy pewności, że dostęp do nich mają jedynie ich właściciele. Na kontach tych wymuszone zostanie również zresetowanie hasła do konta. Dodatkowo wprowadziliśmy captche, której wpisanie będzie konieczne przy błędnym podaniu hasła do konta. Rozważamy również wprowadzenie logowania nie za pomocą loginu, a za pomocą adresu mailowego i hasła. Metoda ta skutecznie utrudni podobne ataki, ale wymagać będzie to znajomości adresu mailowego przypisanego do swojego konta - a wiemy, że nie wszyscy o nich pamiętają :-)
Chcemy jednak przypomnieć, że nawet najlepsze metody nic nie dadzą, jeśli sami nie zadbacie o odpowiednią ochronę własnego konta. W tej aferze, konta, do których dostęp został przejęty, miały bardzo proste hasła, wręcz banalnie proste. Jeśli ktoś jeszcze ma ustawione jedno z popularniejszych haseł lub stosuje hasła podobne do nazw loginu - prosimy, zmieńcie je na trudniejsze. I koniecznie przejrzyjcie swoje aplikacje, by upewnić się, że nie ma wśród nich aplikacji niezaufanych - możecie to zrobić w ustawieniach profilu.
Atak przeprowadzony na konta użytkowników serwisu Wykop.pl zostanie zgłoszony odpowiednim organom.
1) Żadnych powiadomień przez kilka dni (a na Niebezpiecznika czas się znalazł). Przecież to logiczne że ludzie mogą używać takich samych haseł w innych serwisach, nie oszukujmy się. Normalną praktyką jest poinformowanie mailowe o fakcie złamania hasła.
2) Bany, zamiast wymuszenia resetowania hasła. Nie mam tu żalu do @Moderacja, bo robili tyle, na ile pozwalał im przygotowany panel, ale Wy (a tak naprawdę Ty, Michał)
@wykop: a wystarczylaby weryfikacja 2 etapowa przy KAZDYM logowaniu (bo przeciez i tak 90% osob korzysta z zapisanych sesji i autologowania, wiec tak naprawde loguja sie raz na ruski rok) czy to poprzez sms czy mail. Ewentualnie mail w stylu tych z FB o logowaniu sie przez nieznane urzadzenie.
byw sprawy hasel - moge miec i haslo 111, a to i tak od Waszych dzialan zalezy czy w ogole pozwolicie na
@wykop: dziękuję za odpowiedź, bo do starego nie mam dostępu, bo strona z której miałem pocztę zrezygnowała z usługi email, bo te były jakimś gmailem i google kazało im więcej płacić, to zrezygnowali z ich usług i konto mail zostało skasowane
A co z banami do wyjaśnienia dla użytkowników, których konta nie zostały zhakowane?
@PiccoloColo: Wyjaśniliśmy to w oświadczeniu: przejęte konta zostały przez nas zbanowane, aż nie uzyskamy pewności, że dostęp do nich mają jedynie ich właściciele.
@skolland tak, ale na steam przetrzymujesz tam swoje pieniądze w formie gier. Wykop nie ma nic wartościowego, by pocić się z wymyślaniem haseł itd. Sam mam proste hasło i nie zamierzam tego zmieniać. Trudne hasła złożone z kilkunastu znakow, znaków specjalnych liter i cyfr zostawiam dla ważnych celów. W tym dwuetapową weryfikację.
@wykop czy moglibyście w końcu jednoznacznie odpowiedzieć na stawiane przez nas pytania, zamiast trzymać nas w niepewności przez najbliższe lata?
@wykop: Odpuść captchę, zamiast tego zrób timeout po którymś błędnym logowaniu na x-minut + każde błędne logowanie je mnoży (znane z bankowości internetowych). Wymuszenie trudniejszego hasła przy zakładaniu konta to bardzo dobry pomysł. Sam mam takie i jak widać, konto nie złamane. Zdajesz ile ludzi używa sobie kont śmieciowych do rejestracji na serwisach? To logowanie adresem mailowym, to jako dodatkowe zabezpieczenie.
ale wymagać będzie to znajomości adresu mailowego przypisanego do swojego konta - a wiemy, że nie wszyscy o nich pamiętają :-)
@wykop: no jak się ma konto typu "throwaway" to się nie pamięta :(
Może zróbcie jakiś filtr max 10 logować na godzinę na konto? Myślę, że to stosunkowo prosta sprawa do zaimplementowania a załatwi takie problemy. Albo np. po 5 błędnych blokada na godzinę, a po 10 na 24h... Jak
@skolland w dalszym ciągu uważam, że na wykop takie bajery nie są potrzebne. Niemniej, nie będzie na pewno przeszkadzać, więc czemu by nie (na pewno nie jako coś obowiązkowego) Zresztą, tak wypisujemy swoje listy życzeń, a nikt z administracji nie zamierza nawet na nasze pytania ( ͡°͜ʖ͡°)
Bardzo wygodne tłumaczenie i wymigiwanie się od odpowiedzi na jasno postawione pytanie.
@KerianRegis: A co jest dla Ciebie niejasnego w słowach, że AMA nie było akcją sponsorowaną? Kolejny raz mocno nad interpretujesz fakty tak, by pasowały do Twojej teorii. Niestety, rozczarujemy Cię - AMA z Masą nie było akcją sponsorowaną, Masa nie przelał ani złotówki na konto Wykopu (czy też pracowników serwisu - jak zakładasz w swoich dziwnych teoriach). Musisz poszukać
Na przykład taki @DannyMurillo nie miał przejętego konta, a jego nick nie widniał na żadnej liście. Po prostu brał komentował aferę.
@PiccoloColo Jeśli został zbanowany z kontem zawieszonym do wyjaśnienia oznacza to, że jego konto zostało przejęte. Część kont zostało przejętych, ale nie zostały do niczego wykorzystane - stąd na tych kontach również pojawiły się blokady.
Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami.
ahaa, czyli hackerzy wiedzieli, które konta miały słabe hasło i tylko je atakowali. seems legit. No chyba nie... Atak dotyczył wielu kont. A zhackowano tylko te proste.
@KerianRegis: pamietasz moze AMA ze znanymi ludzmi, gdzie faktycznie wykop pomagal i pozniej pokazywali zdjecia z osoba z AMA i Michauem przy stoliku pelnym rogali? Pomagali nie raz odpiywac na pytania
@KerianRegis: Otrzymałeś już od nas odpowiedź. Rozumiemy, że nie pasuje ona do Twojego światopoglądu, dlatego trudniej jest Ci się z nią pogodzić. Niestety, na to nie jesteśmy w stanie pomóc.
@brtk122 przyjmą zgłoszenie a po rozpoznaniu umorzenie. Jeśli ktoś kumaty w MO się weźmie za to może zostać piłeczka odbita zgodnie z maksymom jest m_b znajdzie się paragraf ;) imho rozkład winy procentowy user/wykop 20/80
przede wszystkim należą Wam się przeprosiny, że tak długo musieliście czekać na wyjaśnienie. W pierwszej kolejności skupiliśmy się na ustaleniu przyczyny problemu, a gdy ten był nam już znany, priorytetem stało się zabezpieczenie przejętych kont.
Podkreślić należy jednak, że nie doszło do wycieku bazy danych Wykopu. Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami. Atak przeprowadzono w sposób, który nie powodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność.
Jak zauważyliście, przejęte konta zostały przez nas zbanowane, aż nie uzyskamy pewności, że dostęp do nich mają jedynie ich właściciele. Na kontach tych wymuszone zostanie również zresetowanie hasła do konta. Dodatkowo wprowadziliśmy captche, której wpisanie będzie konieczne przy błędnym podaniu hasła do konta. Rozważamy również wprowadzenie logowania nie za pomocą loginu, a za pomocą adresu mailowego i hasła. Metoda ta skutecznie utrudni podobne ataki, ale wymagać będzie to znajomości adresu mailowego przypisanego do swojego konta - a wiemy, że nie wszyscy o nich pamiętają :-)
Chcemy jednak przypomnieć, że nawet najlepsze metody nic nie dadzą, jeśli sami nie zadbacie o odpowiednią ochronę własnego konta. W tej aferze, konta, do których dostęp został przejęty, miały bardzo proste hasła, wręcz banalnie proste. Jeśli ktoś jeszcze ma ustawione jedno z popularniejszych haseł lub stosuje hasła podobne do nazw loginu - prosimy, zmieńcie je na trudniejsze. I koniecznie przejrzyjcie swoje aplikacje, by upewnić się, że nie ma wśród nich aplikacji niezaufanych - możecie to zrobić w ustawieniach profilu.
Atak przeprowadzony na konta użytkowników serwisu Wykop.pl zostanie zgłoszony odpowiednim organom.
#aferabotowa #wykop #oswiadczenie
1) Żadnych powiadomień przez kilka dni (a na Niebezpiecznika czas się znalazł). Przecież to logiczne że ludzie mogą używać takich samych haseł w innych serwisach, nie oszukujmy się. Normalną praktyką jest poinformowanie mailowe o fakcie złamania hasła.
2) Bany, zamiast wymuszenia resetowania hasła. Nie mam tu żalu do @Moderacja, bo robili tyle, na ile pozwalał im przygotowany panel, ale Wy (a tak naprawdę Ty, Michał)
Ewentualnie mail w stylu tych z FB o logowaniu sie przez nieznane urzadzenie.
byw sprawy hasel - moge miec i haslo 111, a to i tak od Waszych dzialan zalezy czy w ogole pozwolicie na
Chciałbym się dowiedzieć kiedy będzie wprowadzony obiecany certyfikat httpps?
@PiccoloColo: Wyjaśniliśmy to w oświadczeniu: przejęte konta zostały przez nas zbanowane, aż nie uzyskamy pewności, że dostęp do nich mają jedynie ich właściciele.
edit: ba! nawet na cdp.pl jest!
Komentarz usunięty przez autora Wpisu
@Akos: Ja też, bardzo. Od 18 godzin na nogach ( ͡° ʖ̯ ͡°)
@wykop czy moglibyście w końcu jednoznacznie odpowiedzieć na stawiane przez nas pytania, zamiast trzymać nas w niepewności przez najbliższe lata?
Wymuszenie trudniejszego hasła przy zakładaniu konta to bardzo dobry pomysł. Sam mam takie i jak widać, konto nie złamane.
Zdajesz ile ludzi używa sobie kont śmieciowych do rejestracji na serwisach? To logowanie adresem mailowym, to jako dodatkowe zabezpieczenie.
Komentarz usunięty przez autora Wpisu
@Zielonka_atakuje: ale na cdp.pl nie, nie mam tam ani karty podpietej ani gier a i tak gdy sie loguje to dostaje mail z 4 cyframi do wprowadzenia.
Coz, milo by bylo...
@wykop: no jak się ma konto typu "throwaway" to się nie pamięta :(
Może zróbcie jakiś filtr max 10 logować na godzinę na konto? Myślę, że to stosunkowo prosta sprawa do zaimplementowania a załatwi takie problemy. Albo np. po 5 błędnych blokada na godzinę, a po 10 na 24h... Jak
@KerianRegis: A co jest dla Ciebie niejasnego w słowach, że AMA nie było akcją sponsorowaną? Kolejny raz mocno nad interpretujesz fakty tak, by pasowały do Twojej teorii. Niestety, rozczarujemy Cię - AMA z Masą nie było akcją sponsorowaną, Masa nie przelał ani złotówki na konto Wykopu (czy też pracowników serwisu - jak zakładasz w swoich dziwnych teoriach). Musisz poszukać
Komentarz usunięty przez moderatora
PRZYZNAJCIE W KOŃCU, ŻE JESTEŚCIE LEWAKAMI!
Komentarz usunięty przez autora
@PiccoloColo Jeśli został zbanowany z kontem zawieszonym do wyjaśnienia oznacza to, że jego konto zostało przejęte. Część kont zostało przejętych, ale nie zostały do niczego wykorzystane - stąd na tych kontach również pojawiły się blokady.
Komentarz usunięty przez autora Wpisu
ahaa, czyli hackerzy wiedzieli, które konta miały słabe hasło i tylko je atakowali. seems legit.
No chyba nie... Atak dotyczył wielu kont. A zhackowano tylko te proste.
poniekąd niestety ( ͡° ͜ʖ ͡°)
@wykop:
Komentarz usunięty przez autora Wpisu
Komentarz usunięty przez autora Wpisu
*>*brute force
*>*nie powodował zauważalnego skoku w obciążeniu
Przestałem czytać
Komentarz usunięty przez autora Wpisu
@Pan_Mirek: Możliwe, że wprowadzimy opcję wyboru - ale wtedy świadomie będziesz musiał zaznaczyć, że nie zależy Ci na mocnym haśle.
@wykop: to takie konto nie powinno mieć opcji głosowania, bo znowu tak będzie
@tosachybajakiesjaja: raczej drut( ͡° ͜ʖ ͡°) poza tym się zgadzam