Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- Zsaroló tört be az oldalunkra, változtass jelszót!
- Szerző: beszmac | 2017. 05. 02. @ 07:28
- Kedves Felhasználók!
- Sajnos weboldalunkon volt egy biztonsági hiba, amellyel ismeretlen elkövetők visszaéltek. A visszaélés jellege: az adatbázisaink adatait érhették el, beleérte a privát üzeneteket, felhasználói azonosítókat, személyes adatokat és kódolt jelszavakat.
- A támadás tényéről egy magyarul beszélő elkövetőtől értesültünk, aki zsaroló feltételekkel volt hajlandó együttműködni a hibák kijavításáról, emellett érzékeny adatokat tartalmazó adatmentéseket is közzétett a nyilvános weboldalon.
- A támadónak a Büntető Törvénykönyv szerint semmilyen joga nem volt a biztonságunk tesztelésére, vagy a feltörésünkre, zsarolása ráadásul kimeríti a törvényben szereplő kényszerítés tényállását.
- Olvasóink számára fontosabb azonban, hogy a lehetőségeink keretein belül átnéztük a rendszer sérülékeny pontjait, és elhárítottuk a hibákat.
- Rendszerünk igen komplex, és régi fejlesztés, nem egyszerű azonnal minden problémát megoldani, pláne nem egy ellenérdekelt támadó ellen, aki hasznos információt viszont nem osztott meg.
- A felismert hibák kijavítását elvégeztük. Sajnos, a támadó hozzáférhetett adatbázisainkhoz, ahogy azt említettük. Ez azt jelenti, hogy mindenkit meg kell kérnünk, hogy a saját érdekében változtassa meg jelszavát.
- A jelszavakat kódolva, de egyszerű kódolással tároltuk, ezért szótáras alapokon feltörhetők. Aki ugyanezt a jelszavát máshol is használta, minden más helyen is módosítson jelszót, lehetőleg mindenhol különbözőt.
- Sajnáljuk a felesleges munkát, de ha már így alakul, kérjük térjen át jelszókezelő alkalmazására, amivel minden oldalon eltérő, speciálisan bonyolult jelszót használhat!
- Röviden összefoglalnánk: a weboldalunkba behatoltak, a problémát kezeltük, a támadó vélhetően egy magyar támadó aki megsértette a BTK-t.
- Kérjük mindenki cseréljen jelszót!
- 29 hozzászólás
- Tweet
- szunyog (the real)
- 2017. 05. 02. @ 07:56
- Helló!
- Szomorúan olvastam. Feljelentés megtörtént e?
- feczo
- 2017. 05. 02. @ 08:50
- A nagy kérdés inkább az, hogy azt a hibát amit kihasználva megszerezték az adatokat biztosan sikerült-e kijavítani?
- beszmac
- 2017. 05. 02. @ 09:23
- Azt gondoljuk, hogy igen, mert láttuk, hogy a hiba helyén később próbálkozott.
- Czo
- 2017. 05. 02. @ 09:24
- A https://haveibeenpwned.com oldal gazdaival felvehetnetek a kommunikaciot, hogy az itt kompromittalodott emailcimek listajat valahogy illesszek be az oldalukra.
- abrahala
- 2017. 05. 02. @ 09:37
- @Czo: nem értem miért csak nekem gyanús, hogy az általad említett oldal egy email adatbázis gyűjtő csalás... egész biztos nem akarnám megadni nekik önszántamból az adataimat, azt meg főképp nem szeretném, hogy ezt mások helyettem megtegyék.
- Czo
- 2017. 05. 02. @ 09:50
- @abrahala: Ez az oldal tobb eve letezik, pont arra valo, hogy az ilyen-olyan adatszivargasos esetek kideruljenek, barki alltal ellenorizhetoek legyenek.
- evone
- 2017. 05. 02. @ 09:53
- admin! miért nincs lehetőég a regisztráció törlésére beszeljukmac-en? nekem nem sok kedvem van itt maradni, ha ti kb kiposztoljátok mindenhova a jelszavamat :)
- P. Roland
- 2017. 05. 02. @ 09:56
- Süllyedő hajó...
- Czo
- 2017. 05. 02. @ 09:57
- Egyebkent milyen jellegu hiba volt? Tavolrol kihasznalhato php futtatas? shell? sql injection? Vagyunk itt egy paran, akiket melyebben is erdekel a problema, mar csak tanulasi celzattal is.
- gyokerbeszeljukmac
- 2017. 05. 02. @ 09:59
- Hát erre mit is lehet mondani... ORBITÁLIS NAGY GYÖKEREK VAGYTOK! Tökéletes kedd reggeli indulás ellenőrizni mindent még akkor is ha óvatos voltam.
- Igazi gyökér vadbarom idióták, csak gratulálni tudok a fantasztikus """kódoláshoz""" és védelemhez. Soha többet nem hogy nem hirdetek itt, de nem is járok erre. Gratulálok!
- feczo
- 2017. 05. 02. @ 10:01
- Az mondjuk sokat segít az ellopott adataidon, hogy nem jössz az oldalra...
- evone
- 2017. 05. 02. @ 10:06
- feczo: sokat nem, de legalább legközelebb már nem fordulhat elő ilyen.. szarul vannak megírva a cikkek, tök érdektelen a tartalom, béna már az egész oldal, látszik hogy egyedül a reklámokból fakadó bevételek miatt van az egész csak fenntartva... és akkor még arra sem ügyelnek hogy az adataink legalább védettek legyenek... lásd, ez a cikk is tele van reklámokkal.
- feczo
- 2017. 05. 02. @ 10:09
- Mivel regisztrációt törölni nem lehet ugyanúgy lopják az adataid, ha nem jössz ide akkor is, ha szarok a cikkek akkor is, ha érdektelen az oldal akkor is...
- Te (Flatline)
- 2017. 05. 02. @ 10:14
- Nekem mondjuk randomgenerált jelszavam volt, amit sehol máshol nem használtam, így ebből a szempontból pont leszarom.
- Másrész gáz így ez az egész, kiváltképp a tájékoztatás hiánya miatt. 2-3 nap alatt szimpla kódolt jelszavakat igen egyszerű megtörni és azokat megpróbálni felhasználni más oldalakon.
- A zsarolás mibenlétét sem tudom elképzelni, ez nem a NASA központi szervere, ahonnan valóban kényes adatokat lehet szivárogtatni.
- BTK emlegetése feljelentés nélkül + állítólagos zsarolás számomra egyenlő ezzel: bullshit. Csak valamire fogni kell a hiányosságokat.
- Ha nem így lenne, a támadó nem hozott volna létre erről egy fórumpostot (amit azóta adminok természetesen töröltek) tájékoztatás képp, és nem jelezte volna a sebezhetőséget üzenetek formájában.
- gyokerbeszeljukmac
- 2017. 05. 02. @ 10:19
- Nem tudok leiratkozni erről a threadről hogy ne kapjak értesítést – próbáltam emailes linkben, itt beállításokban és csakazértis kapom a kib*szott emaileket ettől a tökkelütött oldaltól. Ki sem pipáltam kommenteléskor hogy kérek email értesítést és csakazértis kapom. Igazi idióták vagytok baszmac.
- Nyilván nem azért nem jövök vissza hogy a jelszavaim biztonságban legyenek – hihetetlen hogy ezt meg kell magyarázni. Próbálom ezt az értesítéshullámot kikapcsolni aztán helló – legalább 4-5 éve voltam olvasó.
- beszmac
- 2017. 05. 02. @ 10:24
- Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
- Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk.
- (Nem mentség, de mondjuk a yahoo annak idején évekig titkolta az adatlopás tényét a felhasználóitól.)
- A hiba kihasználásához elég jó szaktudás kellett, korántsem arról van szó, hogy tárva-nyitva volt minden és az adataitok fel voltak kínálva.
- Ettől még természetesen nagyon kellemetlen a dolog és ezúton is elnézést kérünk a kellemetlenségekért.
- evone
- 2017. 05. 02. @ 10:25
- beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére?
- feczo
- 2017. 05. 02. @ 10:32
- beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére és a leiratkozásra hogy ne küldözgessen emailt minden hozzászólás után az oldal?
- beszmac
- 2017. 05. 02. @ 11:02
- http://beszeljukmac.com/index.php/forums/member/edit_email
- Itt tudod beállítani az email értesítéseket.
- beszmac
- 2017. 05. 02. @ 11:02
- http://beszeljukmac.com/index.php/forums/member/edit_email
- Itt tudod beállítani az email értesítéseket.
- evone
- 2017. 05. 02. @ 11:03
- beszmac: ez okés, de hogyan lehet a regisztrációnkat véglegesen törölni? ezek után szerintem megérthetnétek, hogy páran szívesen távoznánk a süllyedő reklám hajóról :)
- Te (Flatline)
- 2017. 05. 02. @ 11:03
- beszmac, hagyjuk inkább. Aki nem ért komolyabban a műszaki/szakmai háttérhez, annak be tudtok adni bármit. Elég egyetlen szimpla scriptkiddie, aki látogatja a 0dayexploitot.
- Beszmac és a yahoo összehasonlítása? Már ne is haragudj, de finoman szólva is megmosolyogtató.
- Amit ezzel, és a korábbi kommunikációs hibákkal elértetek, az az, hogy tovább néptelenedik az oldal, még kevesebb felhasználótok/látogatótok lesz.
- "Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
- Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk."
- Ezen még a kollégám is hangosan felnevetett. Első mondatban pontos tényszerű, másodikban "Az első email megérkezése után 48 órával tájékoztattunk."
- Első mondat üti a másodikat.
- Elárulom hogyan lehetett volna ez az egészet korrekten kezelni:
- - hiba észlelésekor oldalt és db-t egyből offline-ra tenni, hibaüzenet pl karbantartás miatt.
- - amikor javítottátok a hibát, minden usernél beállítani, hogy belépéskor kötelező jelszócsere úgy, hogy a régit ne lehessen újra megadni.
- - Visszaállítani az oldalt online-ra.
- - Ezekután publikálni a főoldalon, hogy egy biztonsági rést kihasználva felhasználói adatok kerültek ki, leírni mit történt, miért kell a jelszócsere, hogyan hárítottátok el a hibát, lásd fenti 3 pont. Elnézést kérni a felhasználóktól az okozott kellemetlenségekért. Nem pedig kipattintani egy tükörfordított cikket arról, hogy hogyan lehet altatni Apple Watchról a gépünket.
- Ha így jártatok volna el, most nem veszítenétek egy csomó felhasználót az oldalról.
- Nem kellett volna csúnya gonosz zsaroló hekkerre mutgatni, meg btk meg anyámtyúkja.
- A legkönnyebb mindig hárítani másra tolni a fekáliahegyet, nem pedig felvállalni a felelősséget, hogy igen, hibáztunk, elnézést, javítottuk.
- DEszter.
- 2017. 05. 02. @ 11:04
- Subject: Biztonsági problémák Date: Sun, 30 Apr 2017 07:02:01 +0200 From:
- Horváth István <istvan.horvath1928@gmail.com> To:
- admin@beszeljukmac.com
- Szevasztok!
- Találtam hibákat az oldalon, gondoltam szólok, persze csak ha akartok vele foglalkozni.
- ________________________________________________________________________________________________
- BeszeljukMAC:
- Szia!
- Köszi, hogy szóltál, segítenél megszüntetni? Mi volt a gyenge láncszem?
- Péter
- ________________________________________________________________________________________________
- Én:
- Szeva!
- Először is lenne pár feltételem, ha ezt elfogadod, akkor elmondom
- hogyan jutottam be, de magát a javítást nektek kell elvégezni
- _________________________________________________________________________________________________
- DEszter.
- 2017. 05. 02. @ 11:05
- BeszeljukMAC:
- hallgatlak
- _________________________________________________________________________________________________
- Én:
- 1, Tegyetek ki a kezdőoldalra egy nyilatkozatot a történtekről és
- legalább 1 hétig legyen kint.
- Az adatok nincsenek veszélyben, nem fogom publikálni sehol, nem a
- károkozás volt a célom, hanem hogy szóljak, és helyrehozzátok. A nevem
- H4x0r.
- 2, Küldjetek minden regisztrált felhasználónak köremailt hogy
- cseréljenek jelszót, ott is ahol az itteni jelszavakat használták,
- ill. a részetekről reseteljetek minden jelszót a rendszerben, és ne
- használjátok a sha1 hashelést.
- 3, Egy általam választott riporternek kellene nyilatkozni az üggyel
- kapcsolatban.
- Szerintem korekkt feltételek... Gondolom te vagy a tulajdonos, tehát
- jogod van meghozni egy ilyen döntést.
- _________________________________________________________________________________________________
- BeszeljukMAC:
- Sajnos nem tudunk együttműködni, ugyanis nem engedhetünk zsarolásnak vagy kényszerítésnek. A biztonsági hiba feltárása, az adatok ellopása és azok publikálása bűncselekmény volt. Nem adtunk rá semmilyen engedélyt. Az, hogy különös feltételeket támaszt a hibával kapcsolatos egyeztetésre, kényszerítés bűncselekménye.
- Nem dolgozunk együtt bűnözőkkel, nem engedhetünk nekik. A biztonsági hibák megoldására megtesszük a lehetséges intézkedéseket, de ez nem alku tárgya.
- Felhívjuk figyelmét, hogy amit elkövetetett, az bűncselekmény a BTK par. 423. szerint és felveti a kényszerítés tényállását is.
- Kérjük a továbbiakban ne kíséreljen meg egyetlen tesztelést sem, nem adunk jogot semmifajta biztonsági tesztelésre, és kijelentjük, hogy ilyen tesztelésekre a korábbiakban soha nem adtunk semmifajta felhatalmazást.
- Amennyiben bármilyen tőlünk ellopott adatot a továbbiakban is tárol, az bűncselekmény, személyes adatok tekintetében halmozottan bűncselekmény. Azok azonnali törlése legalább csökkentheti bűntetését.
- Nem tudjuk megígérni, hogy nem működünk együtt a hatóságokkal az ügyben, de egyelőre nem tettünk feljelentést.
- _______________________________________________________________________________________________________
- DEszter.
- 2017. 05. 02. @ 11:05
- Én:
- Félreértettél, nincs szó se zsarolásról, se kényszerítésről. Olyan
- dolgokat kértem!! (nem utasítottam, nem követelőztem), amikből nekem
- nem származik sem anyagi, sem egyéb hasznom. A felhasználóknak joga
- van tudni arról, hogy az adataikhoz illetéktelenek is hozzáférhettek,
- ahogy én is, bárki más is hozzá juthatott ezekhez. A jelszócsere
- szerintem evidens hogy miért, a hashalési algoritmus pedig azért
- szorul cserére, mert a google hamarosan publikálni fogja az sha
- exploitot, amivel gyerekjáték visszafejteni az ezekkel hashelt
- jelszavakat (https://shattered.io).
- Örülök hogy sikerült kijavítani a hibákat, ez volt a cél. De fontosnak
- tartom a felhasználók és a média tájékoztatását az eset miatt, pláne
- ha a userek máshol is azt a jelszót használták amit itt is.
- ___________________________________________________________________________________________________
- DEszter.
- 2017. 05. 02. @ 11:06
- Ennyit a zsarolásról...
- a beszélgetés köztem és dávid péter között zajlott
- beszmac
- 2017. 05. 02. @ 11:13
- Üdvözöllek.
- Gyakorlatilag megtörtént, amit akartál, nem? Hiba javítva, userek értesítve, bocs, de az 5perc hírnév elmaradt.
- Ha annyira segíteni akarsz, akkor szólsz, hogy bocs, ezt a hibát találtam és javítsátok ki, nem pedig a tor hálózat mögé bújva üzengetsz.
- Most is lopott személyes adat mögé bújva írsz? Vagy valóban te vagy DEszter? Ez kinek jó?
- Te (Flatline)
- 2017. 05. 02. @ 11:27
- DEszter, köszönöm a megerősítést, első pillanattól kezdve tudtam, hogy nem volt itt semmi zsarolás vagy kényszerítés.
- beszmac vádaskodás helyett jobb lenne, ha kicsit magatokba néznétek, nem pedig folytatni a meddő és értelmetlen kötekedést, vádaskodást és személyeskedést.
- Egy riport még jót is tett volna az oldalnak, csak némi marketing affinitás kéne, hogy ezt megértsétek.
- evone
- 2017. 05. 02. @ 11:29
- beszmac: mikor lesz lehetőség a regisztráció törlésére?
- Commenting is not available in this channel entry.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement