API tools faq
paste
Advertisement
Guest User

Beszmac

a guest
May 2nd, 2017
898
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 14.71 KB | None | 0 0
raw download clone embed print report
  1. Zsaroló tört be az oldalunkra, változtass jelszót!
  2. Szerző: beszmac | 2017. 05. 02. @ 07:28
  3. Kedves Felhasználók!
  4. Sajnos weboldalunkon volt egy biztonsági hiba, amellyel ismeretlen elkövetők visszaéltek. A visszaélés jellege: az adatbázisaink adatait érhették el, beleérte a privát üzeneteket, felhasználói azonosítókat, személyes adatokat és kódolt jelszavakat.
  5.  
  6. A támadás tényéről egy magyarul beszélő elkövetőtől értesültünk, aki zsaroló feltételekkel volt hajlandó együttműködni a hibák kijavításáról, emellett érzékeny adatokat tartalmazó adatmentéseket is közzétett a nyilvános weboldalon.
  7. A támadónak a Büntető Törvénykönyv szerint semmilyen joga nem volt a biztonságunk tesztelésére, vagy a feltörésünkre, zsarolása ráadásul kimeríti a törvényben szereplő kényszerítés tényállását.
  8. Olvasóink számára fontosabb azonban, hogy a lehetőségeink keretein belül átnéztük a rendszer sérülékeny pontjait, és elhárítottuk a hibákat.
  9. Rendszerünk igen komplex, és régi fejlesztés, nem egyszerű azonnal minden problémát megoldani, pláne nem egy ellenérdekelt támadó ellen, aki hasznos információt viszont nem osztott meg.
  10. A felismert hibák kijavítását elvégeztük. Sajnos, a támadó hozzáférhetett adatbázisainkhoz, ahogy azt említettük. Ez azt jelenti, hogy mindenkit meg kell kérnünk, hogy a saját érdekében változtassa meg jelszavát.
  11. A jelszavakat kódolva, de egyszerű kódolással tároltuk, ezért szótáras alapokon feltörhetők. Aki ugyanezt a jelszavát máshol is használta, minden más helyen is módosítson jelszót, lehetőleg mindenhol különbözőt.
  12. Sajnáljuk a felesleges munkát, de ha már így alakul, kérjük térjen át jelszókezelő alkalmazására, amivel minden oldalon eltérő, speciálisan bonyolult jelszót használhat!
  13. Röviden összefoglalnánk: a weboldalunkba behatoltak, a problémát kezeltük, a támadó vélhetően egy magyar támadó aki megsértette a BTK-t.
  14. Kérjük mindenki cseréljen jelszót!
  15. 29 hozzászólás
  16. Tweet
  17.  
  18.  
  19. szunyog (the real)
  20. 2017. 05. 02. @ 07:56
  21.  
  22. Helló!
  23. Szomorúan olvastam. Feljelentés megtörtént e?
  24. feczo
  25. 2017. 05. 02. @ 08:50
  26. A nagy kérdés inkább az, hogy azt a hibát amit kihasználva megszerezték az adatokat biztosan sikerült-e kijavítani?
  27. beszmac
  28. 2017. 05. 02. @ 09:23
  29.  
  30. Azt gondoljuk, hogy igen, mert láttuk, hogy a hiba helyén később próbálkozott.
  31. Czo
  32. 2017. 05. 02. @ 09:24
  33. A https://haveibeenpwned.com oldal gazdaival felvehetnetek a kommunikaciot, hogy az itt kompromittalodott emailcimek listajat valahogy illesszek be az oldalukra.
  34. abrahala
  35. 2017. 05. 02. @ 09:37
  36. @Czo: nem értem miért csak nekem gyanús, hogy az általad említett oldal egy email adatbázis gyűjtő csalás... egész biztos nem akarnám megadni nekik önszántamból az adataimat, azt meg főképp nem szeretném, hogy ezt mások helyettem megtegyék.
  37. Czo
  38. 2017. 05. 02. @ 09:50
  39. @abrahala: Ez az oldal tobb eve letezik, pont arra valo, hogy az ilyen-olyan adatszivargasos esetek kideruljenek, barki alltal ellenorizhetoek legyenek.
  40. evone
  41. 2017. 05. 02. @ 09:53
  42. admin! miért nincs lehetőég a regisztráció törlésére beszeljukmac-en? nekem nem sok kedvem van itt maradni, ha ti kb kiposztoljátok mindenhova a jelszavamat :)
  43. P. Roland
  44. 2017. 05. 02. @ 09:56
  45. Süllyedő hajó...
  46. Czo
  47. 2017. 05. 02. @ 09:57
  48. Egyebkent milyen jellegu hiba volt? Tavolrol kihasznalhato php futtatas? shell? sql injection? Vagyunk itt egy paran, akiket melyebben is erdekel a problema, mar csak tanulasi celzattal is.
  49. gyokerbeszeljukmac
  50. 2017. 05. 02. @ 09:59
  51. Hát erre mit is lehet mondani... ORBITÁLIS NAGY GYÖKEREK VAGYTOK! Tökéletes kedd reggeli indulás ellenőrizni mindent még akkor is ha óvatos voltam.
  52.  
  53. Igazi gyökér vadbarom idióták, csak gratulálni tudok a fantasztikus """kódoláshoz""" és védelemhez. Soha többet nem hogy nem hirdetek itt, de nem is járok erre. Gratulálok!
  54. feczo
  55. 2017. 05. 02. @ 10:01
  56. Az mondjuk sokat segít az ellopott adataidon, hogy nem jössz az oldalra...
  57. evone
  58. 2017. 05. 02. @ 10:06
  59. feczo: sokat nem, de legalább legközelebb már nem fordulhat elő ilyen.. szarul vannak megírva a cikkek, tök érdektelen a tartalom, béna már az egész oldal, látszik hogy egyedül a reklámokból fakadó bevételek miatt van az egész csak fenntartva... és akkor még arra sem ügyelnek hogy az adataink legalább védettek legyenek... lásd, ez a cikk is tele van reklámokkal.
  60. feczo
  61. 2017. 05. 02. @ 10:09
  62. Mivel regisztrációt törölni nem lehet ugyanúgy lopják az adataid, ha nem jössz ide akkor is, ha szarok a cikkek akkor is, ha érdektelen az oldal akkor is...
  63. Te (Flatline)
  64. 2017. 05. 02. @ 10:14
  65. Nekem mondjuk randomgenerált jelszavam volt, amit sehol máshol nem használtam, így ebből a szempontból pont leszarom.
  66. Másrész gáz így ez az egész, kiváltképp a tájékoztatás hiánya miatt. 2-3 nap alatt szimpla kódolt jelszavakat igen egyszerű megtörni és azokat megpróbálni felhasználni más oldalakon.
  67. A zsarolás mibenlétét sem tudom elképzelni, ez nem a NASA központi szervere, ahonnan valóban kényes adatokat lehet szivárogtatni.
  68. BTK emlegetése feljelentés nélkül + állítólagos zsarolás számomra egyenlő ezzel: bullshit. Csak valamire fogni kell a hiányosságokat.
  69. Ha nem így lenne, a támadó nem hozott volna létre erről egy fórumpostot (amit azóta adminok természetesen töröltek) tájékoztatás képp, és nem jelezte volna a sebezhetőséget üzenetek formájában.
  70. gyokerbeszeljukmac
  71. 2017. 05. 02. @ 10:19
  72. Nem tudok leiratkozni erről a threadről hogy ne kapjak értesítést – próbáltam emailes linkben, itt beállításokban és csakazértis kapom a kib*szott emaileket ettől a tökkelütött oldaltól. Ki sem pipáltam kommenteléskor hogy kérek email értesítést és csakazértis kapom. Igazi idióták vagytok baszmac.
  73.  
  74. Nyilván nem azért nem jövök vissza hogy a jelszavaim biztonságban legyenek – hihetetlen hogy ezt meg kell magyarázni. Próbálom ezt az értesítéshullámot kikapcsolni aztán helló – legalább 4-5 éve voltam olvasó.
  75. beszmac
  76. 2017. 05. 02. @ 10:24
  77.  
  78. Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
  79. Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk.
  80. (Nem mentség, de mondjuk a yahoo annak idején évekig titkolta az adatlopás tényét a felhasználóitól.)
  81. A hiba kihasználásához elég jó szaktudás kellett, korántsem arról van szó, hogy tárva-nyitva volt minden és az adataitok fel voltak kínálva.
  82. Ettől még természetesen nagyon kellemetlen a dolog és ezúton is elnézést kérünk a kellemetlenségekért.
  83. evone
  84. 2017. 05. 02. @ 10:25
  85. beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére?
  86. feczo
  87. 2017. 05. 02. @ 10:32
  88. beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére és a leiratkozásra hogy ne küldözgessen emailt minden hozzászólás után az oldal?
  89. beszmac
  90. 2017. 05. 02. @ 11:02
  91.  
  92. http://beszeljukmac.com/index.php/forums/member/edit_email
  93.  
  94. Itt tudod beállítani az email értesítéseket.
  95. beszmac
  96. 2017. 05. 02. @ 11:02
  97.  
  98. http://beszeljukmac.com/index.php/forums/member/edit_email
  99.  
  100. Itt tudod beállítani az email értesítéseket.
  101. evone
  102. 2017. 05. 02. @ 11:03
  103. beszmac: ez okés, de hogyan lehet a regisztrációnkat véglegesen törölni? ezek után szerintem megérthetnétek, hogy páran szívesen távoznánk a süllyedő reklám hajóról :)
  104. Te (Flatline)
  105. 2017. 05. 02. @ 11:03
  106. beszmac, hagyjuk inkább. Aki nem ért komolyabban a műszaki/szakmai háttérhez, annak be tudtok adni bármit. Elég egyetlen szimpla scriptkiddie, aki látogatja a 0dayexploitot.
  107. Beszmac és a yahoo összehasonlítása? Már ne is haragudj, de finoman szólva is megmosolyogtató.
  108. Amit ezzel, és a korábbi kommunikációs hibákkal elértetek, az az, hogy tovább néptelenedik az oldal, még kevesebb felhasználótok/látogatótok lesz.
  109. "Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
  110. Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk."
  111. Ezen még a kollégám is hangosan felnevetett. Első mondatban pontos tényszerű, másodikban "Az első email megérkezése után 48 órával tájékoztattunk."
  112. Első mondat üti a másodikat.
  113.  
  114. Elárulom hogyan lehetett volna ez az egészet korrekten kezelni:
  115. - hiba észlelésekor oldalt és db-t egyből offline-ra tenni, hibaüzenet pl karbantartás miatt.
  116. - amikor javítottátok a hibát, minden usernél beállítani, hogy belépéskor kötelező jelszócsere úgy, hogy a régit ne lehessen újra megadni.
  117. - Visszaállítani az oldalt online-ra.
  118. - Ezekután publikálni a főoldalon, hogy egy biztonsági rést kihasználva felhasználói adatok kerültek ki, leírni mit történt, miért kell a jelszócsere, hogyan hárítottátok el a hibát, lásd fenti 3 pont. Elnézést kérni a felhasználóktól az okozott kellemetlenségekért. Nem pedig kipattintani egy tükörfordított cikket arról, hogy hogyan lehet altatni Apple Watchról a gépünket.
  119.  
  120. Ha így jártatok volna el, most nem veszítenétek egy csomó felhasználót az oldalról.
  121. Nem kellett volna csúnya gonosz zsaroló hekkerre mutgatni, meg btk meg anyámtyúkja.
  122.  
  123. A legkönnyebb mindig hárítani másra tolni a fekáliahegyet, nem pedig felvállalni a felelősséget, hogy igen, hibáztunk, elnézést, javítottuk.
  124. DEszter.
  125. 2017. 05. 02. @ 11:04
  126. Subject: Biztonsági problémák Date: Sun, 30 Apr 2017 07:02:01 +0200 From:
  127. Horváth István <istvan.horvath1928@gmail.com> To:
  128. admin@beszeljukmac.com
  129.  
  130. Szevasztok!
  131.  
  132. Találtam hibákat az oldalon, gondoltam szólok, persze csak ha akartok vele foglalkozni.
  133. ________________________________________________________________________________________________
  134. BeszeljukMAC:
  135.  
  136. Szia!
  137. Köszi, hogy szóltál, segítenél megszüntetni? Mi volt a gyenge láncszem?
  138.  
  139. Péter
  140. ________________________________________________________________________________________________
  141. Én:
  142.  
  143. Szeva!
  144.  
  145. Először is lenne pár feltételem, ha ezt elfogadod, akkor elmondom
  146. hogyan jutottam be, de magát a javítást nektek kell elvégezni
  147.  
  148. _________________________________________________________________________________________________
  149. DEszter.
  150. 2017. 05. 02. @ 11:05
  151. BeszeljukMAC:
  152.  
  153. hallgatlak
  154. _________________________________________________________________________________________________
  155. Én:
  156.  
  157. 1, Tegyetek ki a kezdőoldalra egy nyilatkozatot a történtekről és
  158. legalább 1 hétig legyen kint.
  159. Az adatok nincsenek veszélyben, nem fogom publikálni sehol, nem a
  160. károkozás volt a célom, hanem hogy szóljak, és helyrehozzátok. A nevem
  161. H4x0r.
  162.  
  163. 2, Küldjetek minden regisztrált felhasználónak köremailt hogy
  164. cseréljenek jelszót, ott is ahol az itteni jelszavakat használták,
  165. ill. a részetekről reseteljetek minden jelszót a rendszerben, és ne
  166. használjátok a sha1 hashelést.
  167.  
  168. 3, Egy általam választott riporternek kellene nyilatkozni az üggyel
  169. kapcsolatban.
  170.  
  171.  
  172. Szerintem korekkt feltételek... Gondolom te vagy a tulajdonos, tehát
  173. jogod van meghozni egy ilyen döntést.
  174. _________________________________________________________________________________________________
  175. BeszeljukMAC:
  176.  
  177. Sajnos nem tudunk együttműködni, ugyanis nem engedhetünk zsarolásnak vagy kényszerítésnek. A biztonsági hiba feltárása, az adatok ellopása és azok publikálása bűncselekmény volt. Nem adtunk rá semmilyen engedélyt. Az, hogy különös feltételeket támaszt a hibával kapcsolatos egyeztetésre, kényszerítés bűncselekménye.
  178. Nem dolgozunk együtt bűnözőkkel, nem engedhetünk nekik. A biztonsági hibák megoldására megtesszük a lehetséges intézkedéseket, de ez nem alku tárgya.
  179. Felhívjuk figyelmét, hogy amit elkövetetett, az bűncselekmény a BTK par. 423. szerint és felveti a kényszerítés tényállását is.
  180. Kérjük a továbbiakban ne kíséreljen meg egyetlen tesztelést sem, nem adunk jogot semmifajta biztonsági tesztelésre, és kijelentjük, hogy ilyen tesztelésekre a korábbiakban soha nem adtunk semmifajta felhatalmazást.
  181. Amennyiben bármilyen tőlünk ellopott adatot a továbbiakban is tárol, az bűncselekmény, személyes adatok tekintetében halmozottan bűncselekmény. Azok azonnali törlése legalább csökkentheti bűntetését.
  182. Nem tudjuk megígérni, hogy nem működünk együtt a hatóságokkal az ügyben, de egyelőre nem tettünk feljelentést.
  183. _______________________________________________________________________________________________________
  184. DEszter.
  185. 2017. 05. 02. @ 11:05
  186. Én:
  187.  
  188. Félreértettél, nincs szó se zsarolásról, se kényszerítésről. Olyan
  189. dolgokat kértem!! (nem utasítottam, nem követelőztem), amikből nekem
  190. nem származik sem anyagi, sem egyéb hasznom. A felhasználóknak joga
  191. van tudni arról, hogy az adataikhoz illetéktelenek is hozzáférhettek,
  192. ahogy én is, bárki más is hozzá juthatott ezekhez. A jelszócsere
  193. szerintem evidens hogy miért, a hashalési algoritmus pedig azért
  194. szorul cserére, mert a google hamarosan publikálni fogja az sha
  195. exploitot, amivel gyerekjáték visszafejteni az ezekkel hashelt
  196. jelszavakat (https://shattered.io).
  197.  
  198. Örülök hogy sikerült kijavítani a hibákat, ez volt a cél. De fontosnak
  199. tartom a felhasználók és a média tájékoztatását az eset miatt, pláne
  200. ha a userek máshol is azt a jelszót használták amit itt is.
  201. ___________________________________________________________________________________________________
  202. DEszter.
  203. 2017. 05. 02. @ 11:06
  204. Ennyit a zsarolásról...
  205.  
  206. a beszélgetés köztem és dávid péter között zajlott
  207. beszmac
  208. 2017. 05. 02. @ 11:13
  209.  
  210. Üdvözöllek.
  211. Gyakorlatilag megtörtént, amit akartál, nem? Hiba javítva, userek értesítve, bocs, de az 5perc hírnév elmaradt.
  212. Ha annyira segíteni akarsz, akkor szólsz, hogy bocs, ezt a hibát találtam és javítsátok ki, nem pedig a tor hálózat mögé bújva üzengetsz.
  213. Most is lopott személyes adat mögé bújva írsz? Vagy valóban te vagy DEszter? Ez kinek jó?
  214. Te (Flatline)
  215. 2017. 05. 02. @ 11:27
  216. DEszter, köszönöm a megerősítést, első pillanattól kezdve tudtam, hogy nem volt itt semmi zsarolás vagy kényszerítés.
  217.  
  218. beszmac vádaskodás helyett jobb lenne, ha kicsit magatokba néznétek, nem pedig folytatni a meddő és értelmetlen kötekedést, vádaskodást és személyeskedést.
  219.  
  220. Egy riport még jót is tett volna az oldalnak, csak némi marketing affinitás kéne, hogy ezt megértsétek.
  221. evone
  222. 2017. 05. 02. @ 11:29
  223. beszmac: mikor lesz lehetőség a regisztráció törlésére?
  224. Commenting is not available in this channel entry.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!