12 replies to this topic

[Ivellios]

Drogi Użytkowniku!

Jeśli posiadasz konto w serwisie wykop.pl, to...

przeczytaj to:
http://www.wykop.pl/blog/post/55

jeśli zżera cię ciekawość, to przeczytaj również to:
http://pokazywarka.pl/xly4r5/

możesz również zajrzeć tutaj:
http://www.wykop.pl/...a-danych-wykopu

...a następnie zmień sobie hasło do skrzynki emailowej, na profilu w VRP i wszędzie, gdzie używałeś takiego samego lub podobnego hasła.

Tak dla bezpieczeństwa.

Jeśli komuś nie chce się czytać powyższych linków - w skrócie:

Zła wiadomość: Kilka tygodni temu na Wykopie doszło do włamania na jeden z serwerów i wyciekła baza danych zawierająca m. in. informacje o loginach, emailach i hasłach do kont użytkowników.

Gorsza wiadomość: Jak wieść gminna niesie, crackerzy / hakerzy / lamerzy (niepotrzebne skreślić) zdołali już odczytać około 40% wszystkich haseł!

Jeszcze gorsza wiadomość: Może się to wydać co najmniej niepoważne, ale policja do czasu wykrycia sprawców włamania... zabroniła administracji Wykopu informować użytkowników o wykradzeniu bazy! Mailing z informacją został rozesłany dopiero wczoraj.

Najgorsza wiadomość: Wiadomo już, że sprawcy włamania przy pomocy danych uzyskanych z bazy dokonali włamań na konta użytkowników w wielu serwisach, w tym na Allegro, naszej-klasie i na PayPal'u.

Mniej zła wiadomość: Problem dotyczy tylko kont zarejestrowanych przed 1 lutego 2009 (baza danych została skradziona z serwera testowego, na którym przygotowywana jest nowa wersja Wykopu). Jeśli więc zarejestrowałeś się na Wykopie 1 lutego lub później, nie musisz nic robić.

[Eternal Moonshine]

Ja mam konto na wykopie od 2007 więc niestety musiałem zmienić hasło. Szkoda bo było fajne. Współczuję biedakowi któremu ktoś się włamał na allegro i zamówił analne wibratory

[mylo]

Tylko że skradziona baza danych zawierała hashowane hasła. Jeśli ktoś nie posiada haseł typu 123, to odszyfrowanie jest skrajnie trudne. Wątpie czy odczytano nawet 1% haseł.

Hashowane hasła można przejąć również w czasie komunikacji. Gdyby rozszyfrowanie tego było takie proste to ciągle ktoś mógłby się nam włamywać na konta.

[Cthulhu]

Myślałem, że miałem konto na Wykopie, ale na szczęście nie

[Babylon Slayer]

Po co im konta na naszej-klasie? Nie widzę powodu, żeby się tam włamywać.

[Ivellios]

Po co im konta na naszej-klasie? Nie widzę powodu, żeby się tam włamywać.

Ale można zrobić psikusa komuś posiadającemu np 2000 znajomych, zmieniając imię i nazwisko na "k**wy, dupodajki, geje i lesbijki"

[Ana Mert]

Wykop - i wszystko jasne. Stawiam na to, że to prowokacja. Oni są już z tego znani. Nie tak dawno razem z właścicielem basha i paru innych portali rozrywkowych upozorowali atak hakerów tureckich na polskę. Wyglądało to całkiem realnie. Ot taki głupi żarcik.

[sechmet]

To nie jest żart. Ponadto, hasła były na serwerze SQL bez hasła dla konta root, co wybitnie świadczy o potencjale głupoty admina który wystawił taką okazję bez jakichś setek firewall'i na sieć i tyczy sie chyba haseł do 1 marca 2009.

Nadto, hasła były hashowane bez SOLi, czyli wstawianych przypadkowo ciągów znaków i z tego powodu hasła krótsze niż 7 znaków i w dodatku słownikowe zostały w dość sporej liczbie złamane.

Tęczowe tablice oraz kilka innych sztuczek pomagają radzić sobie z hasłami 7-12 literowymi dośc skutecznie, kwestią jest tylko moc obliczeniowa i czas.

Policji chwała za głupotę i tępotę okazaną w tym przypadku - należy im się chyba nagroda od włamywaczy, bo pierwszą zasadą w przypadku kompromitacji serwera powinno być natychmiastowe poinformowanie użytkowników o możliwym wykradzeniu hasła. 70% użyszkodników komputerów używa prawie tylko 1 hasła do konta bankowego, emailowego i na fora/inne serwisy sieciowe. Używając podobnego loginu w przypadku utraty hasła mamy gwarantowane że tylko 10-20 % populacji używającej komputera ma szanse uchronienia się przed podobnymi włamami, bo jeśli ktoś podał datę urodzenia to na 20% jej używa do logowania - lub jej części.

Szczęśliwie, obdarowani posiadacze kulek analnych podobno są usatysfakcjonowani wskutek akceptacji partnerów / partnerek co może przyczyni się do wzrostu świadomości w kwestii hasłowania i sposobów na uchronienie się przed podobnymi akcjami.

[Cashpoint]

Nie piszcie bzdur o tych hasłach bo widać, że się nie orientujecie. Przeciętny użytkownik internetu (potrafiący wejść na gg, strony internetowe i odpalający muzykę z Winampa) nie ma najmniejszego pojęcia o bezpieczeństwie. W olbrzymiej ilości przypadków hasło brzmi prawie tak samo jak login.

Mocne hasło to np: {2GH.mDk]43xzy098

Coś takiego posiada może 8% użytkowników portali takich jak Wykop.

Większość to po prostu zwykłe polskie wyrazy z dodatkową cyferką itd.

Jeśli chodzi o kodowania, to nie łudźcie się, że to bariera nie do przejścia. Prawdopodobnie były to hashe typu MD5 albo SHA1.

Pocieszające również powinno być to, że na wykopie do 2009 roku było zarejestrowanych już dostatecznie dużo użytkowników (ok 118000) przez co jest stosunkowo mało prawdopodobne, żebyśmy to akurat my padli ofiarami jakiegoś przekrętu.

To nic nie szkodzi. Łamanie haseł i sprawdzanie czy są aktualne odbywa się metodami masowymi, także jeśli ktoś miał słabe hasło to jest ono już znane.

Wątpie czy odczytano nawet 1% haseł.

Bez żartów...

[mylo]

Bez żartów...

Tak nisko cenisz inteligencje innych? Hasło takie jak login to chyba musiałby być jakiś totalny idiota.

Takie coś trzeba łamać brute forcem. To zabiera czas i mase mocy obliczeniowej.

[Ana Mert]

Tak nisko cenisz inteligencje innych? Hasło takie jak login to chyba musiałby być jakiś totalny idiota.

Znam jedną taką osobę. Jego hasło od loginu różni się tylko 2 ostatnimi literkami . No...ale dzieciak ma 9 lat więc czego się po takim spodziewać.

[Eternal Moonshine]

Wykop - i wszystko jasne. Stawiam na to, że to prowokacja. Oni są już z tego znani. Nie tak dawno razem z właścicielem basha i paru innych portali rozrywkowych upozorowali atak hakerów tureckich na polskę. Wyglądało to całkiem realnie. Ot taki głupi żarcik.

Nie znasz całej prawdy Ten udawany atak hakerów nie był akcja wykopowiczów. Za wszystkim stał użytkownik o nicku ByDAVACI i jego dwóch znajomych. Cała reszta nie miała o niczym pojęcia. Tutaj masz cały opis http://pokazywarka.p...iwojnaswiatowa/ a pod tym linkiem możesz sprawdzić reakcje wykopowiczów http://www.wykop.pl/...yberprzestrzeni

Użytkownik Eternal Moonshine edytował ten post 10.09.2009 - 04:24