Zsaroló tört be az oldalunkra, változtass jelszót!

Kedves Felhasználók!
Sajnos weboldalunkon volt egy biztonsági hiba, amellyel ismeretlen elkövetők visszaéltek. A visszaélés jellege: az adatbázisaink adatait érhették el, beleérte a privát üzeneteket, felhasználói azonosítókat, személyes adatokat és kódolt jelszavakat.


A támadás tényéről egy magyarul beszélő elkövetőtől értesültünk, aki zsaroló feltételekkel volt hajlandó együttműködni a hibák kijavításáról, emellett érzékeny adatokat tartalmazó adatmentéseket is közzétett a nyilvános weboldalon.
A támadónak a Büntető Törvénykönyv szerint semmilyen joga nem volt a biztonságunk tesztelésére, vagy a feltörésünkre, zsarolása ráadásul kimeríti a törvényben szereplő kényszerítés tényállását.
Olvasóink számára fontosabb azonban, hogy a lehetőségeink keretein belül átnéztük a rendszer sérülékeny pontjait, és elhárítottuk a hibákat.
Rendszerünk igen komplex, és régi fejlesztés, nem egyszerű azonnal minden problémát megoldani, pláne nem egy ellenérdekelt támadó ellen, aki hasznos információt viszont nem osztott meg.
A felismert hibák kijavítását elvégeztük. Sajnos, a támadó hozzáférhetett adatbázisainkhoz, ahogy azt említettük. Ez azt jelenti, hogy mindenkit meg kell kérnünk, hogy a saját érdekében változtassa meg jelszavát.
A jelszavakat kódolva, de egyszerű kódolással tároltuk, ezért szótáras alapokon feltörhetők. Aki ugyanezt a jelszavát máshol is használta, minden más helyen is módosítson jelszót, lehetőleg mindenhol különbözőt.
Sajnáljuk a felesleges munkát, de ha már így alakul, kérjük térjen át jelszókezelő alkalmazására, amivel minden oldalon eltérő, speciálisan bonyolult jelszót használhat!
Röviden összefoglalnánk: a weboldalunkba behatoltak, a problémát kezeltük, a támadó vélhetően egy magyar támadó aki megsértette a BTK-t.
Kérjük mindenki cseréljen jelszót!

28 hozzászólás
szunyog (the real)
2017. 05. 02. @ 07:56
szunyog (the real) képe

Helló!
Szomorúan olvastam. Feljelentés megtörtént e?

feczo
2017. 05. 02. @ 08:50

A nagy kérdés inkább az, hogy azt a hibát amit kihasználva megszerezték az adatokat biztosan sikerült-e kijavítani?

beszmac
2017. 05. 02. @ 09:23
beszmac képe

Azt gondoljuk, hogy igen, mert láttuk, hogy a hiba helyén később próbálkozott.

Czo
2017. 05. 02. @ 09:24

A https://haveibeenpwned.com oldal gazdaival felvehetnetek a kommunikaciot, hogy az itt kompromittalodott emailcimek listajat valahogy illesszek be az oldalukra.

abrahala
2017. 05. 02. @ 09:37

@Czo: nem értem miért csak nekem gyanús, hogy az általad említett oldal egy email adatbázis gyűjtő csalás... egész biztos nem akarnám megadni nekik önszántamból az adataimat, azt meg főképp nem szeretném, hogy ezt mások helyettem megtegyék.

Czo
2017. 05. 02. @ 09:50

@abrahala: Ez az oldal tobb eve letezik, pont arra valo, hogy az ilyen-olyan adatszivargasos esetek kideruljenek, barki alltal ellenorizhetoek legyenek.

evone
2017. 05. 02. @ 09:53

admin! miért nincs lehetőég a regisztráció törlésére beszeljukmac-en? nekem nem sok kedvem van itt maradni, ha ti kb kiposztoljátok mindenhova a jelszavamat :)

Czo
2017. 05. 02. @ 09:57

Egyebkent milyen jellegu hiba volt? Tavolrol kihasznalhato php futtatas? shell? sql injection? Vagyunk itt egy paran, akiket melyebben is erdekel a problema, mar csak tanulasi celzattal is.

gyokerbeszeljukmac
2017. 05. 02. @ 09:59

Hát erre mit is lehet mondani... ORBITÁLIS NAGY GYÖKEREK VAGYTOK! Tökéletes kedd reggeli indulás ellenőrizni mindent még akkor is ha óvatos voltam.

Igazi gyökér vadbarom idióták, csak gratulálni tudok a fantasztikus """kódoláshoz""" és védelemhez. Soha többet nem hogy nem hirdetek itt, de nem is járok erre. Gratulálok!

feczo
2017. 05. 02. @ 10:01

Az mondjuk sokat segít az ellopott adataidon, hogy nem jössz az oldalra...

evone
2017. 05. 02. @ 10:06

feczo: sokat nem, de legalább legközelebb már nem fordulhat elő ilyen.. szarul vannak megírva a cikkek, tök érdektelen a tartalom, béna már az egész oldal, látszik hogy egyedül a reklámokból fakadó bevételek miatt van az egész csak fenntartva... és akkor még arra sem ügyelnek hogy az adataink legalább védettek legyenek... lásd, ez a cikk is tele van reklámokkal.

feczo
2017. 05. 02. @ 10:09

Mivel regisztrációt törölni nem lehet ugyanúgy lopják az adataid, ha nem jössz ide akkor is, ha szarok a cikkek akkor is, ha érdektelen az oldal akkor is...

Flatline
2017. 05. 02. @ 10:14

Nekem mondjuk randomgenerált jelszavam volt, amit sehol máshol nem használtam, így ebből a szempontból pont leszarom.
Másrész gáz így ez az egész, kiváltképp a tájékoztatás hiánya miatt. 2-3 nap alatt szimpla kódolt jelszavakat igen egyszerű megtörni és azokat megpróbálni felhasználni más oldalakon.
A zsarolás mibenlétét sem tudom elképzelni, ez nem a NASA központi szervere, ahonnan valóban kényes adatokat lehet szivárogtatni.
BTK emlegetése feljelentés nélkül + állítólagos zsarolás számomra egyenlő ezzel: bullshit. Csak valamire fogni kell a hiányosságokat.
Ha nem így lenne, a támadó nem hozott volna létre erről egy fórumpostot (amit azóta adminok természetesen töröltek) tájékoztatás képp, és nem jelezte volna a sebezhetőséget üzenetek formájában.

gyokerbeszeljukmac
2017. 05. 02. @ 10:19

Nem tudok leiratkozni erről a threadről hogy ne kapjak értesítést – próbáltam emailes linkben, itt beállításokban és csakazértis kapom a kib*szott emaileket ettől a tökkelütött oldaltól. Ki sem pipáltam kommenteléskor hogy kérek email értesítést és csakazértis kapom. Igazi idióták vagytok baszmac.

Nyilván nem azért nem jövök vissza hogy a jelszavaim biztonságban legyenek – hihetetlen hogy ezt meg kell magyarázni. Próbálom ezt az értesítéshullámot kikapcsolni aztán helló – legalább 4-5 éve voltam olvasó.

beszmac
2017. 05. 02. @ 10:24
beszmac képe

Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk.
(Nem mentség, de mondjuk a yahoo annak idején évekig titkolta az adatlopás tényét a felhasználóitól.)
A hiba kihasználásához elég jó szaktudás kellett, korántsem arról van szó, hogy tárva-nyitva volt minden és az adataitok fel voltak kínálva.
Ettől még természetesen nagyon kellemetlen a dolog és ezúton is elnézést kérünk a kellemetlenségekért.

evone
2017. 05. 02. @ 10:25

beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére?

feczo
2017. 05. 02. @ 10:32

beszmac: mikor és hogyan lesz lehetőség a regisztráció törlésére és a leiratkozásra hogy ne küldözgessen emailt minden hozzászólás után az oldal?

beszmac
2017. 05. 02. @ 11:02
beszmac képe

http://beszeljukmac.com/index.php/forums/member/edit_email

Itt tudod beállítani az email értesítéseket.

beszmac
2017. 05. 02. @ 11:02
beszmac képe

http://beszeljukmac.com/index.php/forums/member/edit_email

Itt tudod beállítani az email értesítéseket.

evone
2017. 05. 02. @ 11:03

beszmac: ez okés, de hogyan lehet a regisztrációnkat véglegesen törölni? ezek után szerintem megérthetnétek, hogy páran szívesen távoznánk a süllyedő reklám hajóról :)

Flatline
2017. 05. 02. @ 11:03

beszmac, hagyjuk inkább. Aki nem ért komolyabban a műszaki/szakmai háttérhez, annak be tudtok adni bármit. Elég egyetlen szimpla scriptkiddie, aki látogatja a 0dayexploitot.
Beszmac és a yahoo összehasonlítása? Már ne is haragudj, de finoman szólva is megmosolyogtató.
Amit ezzel, és a korábbi kommunikációs hibákkal elértetek, az az, hogy tovább néptelenedik az oldal, még kevesebb felhasználótok/látogatótok lesz.
"Nem bullshit sajnos, a tájékoztatás pontos és tényszerű.
Azt gondolom, a korrekt tájékoztatáshoz hozzátartozik, hogy fel kell mérni, mi történt, mi történhetett. Az első email megérkezése után 48 órával tájékoztattunk."
Ezen még a kollégám is hangosan felnevetett. Első mondatban pontos tényszerű, másodikban "Az első email megérkezése után 48 órával tájékoztattunk."
Első mondat üti a másodikat.

Elárulom hogyan lehetett volna ez az egészet korrekten kezelni:
- hiba észlelésekor oldalt és db-t egyből offline-ra tenni, hibaüzenet pl karbantartás miatt.
- amikor javítottátok a hibát, minden usernél beállítani, hogy belépéskor kötelező jelszócsere úgy, hogy a régit ne lehessen újra megadni.
- Visszaállítani az oldalt online-ra.
- Ezekután publikálni a főoldalon, hogy egy biztonsági rést kihasználva felhasználói adatok kerültek ki, leírni mit történt, miért kell a jelszócsere, hogyan hárítottátok el a hibát, lásd fenti 3 pont. Elnézést kérni a felhasználóktól az okozott kellemetlenségekért. Nem pedig kipattintani egy tükörfordított cikket arról, hogy hogyan lehet altatni Apple Watchról a gépünket.

Ha így jártatok volna el, most nem veszítenétek egy csomó felhasználót az oldalról.
Nem kellett volna csúnya gonosz zsaroló hekkerre mutgatni, meg btk meg anyámtyúkja.

A legkönnyebb mindig hárítani másra tolni a fekáliahegyet, nem pedig felvállalni a felelősséget, hogy igen, hibáztunk, elnézést, javítottuk.

DEszter.
2017. 05. 02. @ 11:04

Subject: Biztonsági problémák Date: Sun, 30 Apr 2017 07:02:01 +0200 From:
Horváth István <istvan.horvath1928@gmail.com> To:
.(JavaScript must be enabled to view this email address)

Szevasztok!

Találtam hibákat az oldalon, gondoltam szólok, persze csak ha akartok vele foglalkozni.
________________________________________________________________________________________________
BeszeljukMAC:

Szia!
Köszi, hogy szóltál, segítenél megszüntetni? Mi volt a gyenge láncszem?

Péter
________________________________________________________________________________________________
Én:

Szeva!

Először is lenne pár feltételem, ha ezt elfogadod, akkor elmondom
hogyan jutottam be, de magát a javítást nektek kell elvégezni

_________________________________________________________________________________________________

DEszter.
2017. 05. 02. @ 11:05

BeszeljukMAC:

hallgatlak
_________________________________________________________________________________________________
Én:

1, Tegyetek ki a kezdőoldalra egy nyilatkozatot a történtekről és
legalább 1 hétig legyen kint.
Az adatok nincsenek veszélyben, nem fogom publikálni sehol, nem a
károkozás volt a célom, hanem hogy szóljak, és helyrehozzátok. A nevem
H4x0r.

2, Küldjetek minden regisztrált felhasználónak köremailt hogy
cseréljenek jelszót, ott is ahol az itteni jelszavakat használták,
ill. a részetekről reseteljetek minden jelszót a rendszerben, és ne
használjátok a sha1 hashelést.

3, Egy általam választott riporternek kellene nyilatkozni az üggyel
kapcsolatban.


Szerintem korekkt feltételek... Gondolom te vagy a tulajdonos, tehát
jogod van meghozni egy ilyen döntést.
_________________________________________________________________________________________________
BeszeljukMAC:

Sajnos nem tudunk együttműködni, ugyanis nem engedhetünk zsarolásnak vagy kényszerítésnek. A biztonsági hiba feltárása, az adatok ellopása és azok publikálása bűncselekmény volt. Nem adtunk rá semmilyen engedélyt. Az, hogy különös feltételeket támaszt a hibával kapcsolatos egyeztetésre, kényszerítés bűncselekménye.
Nem dolgozunk együtt bűnözőkkel, nem engedhetünk nekik. A biztonsági hibák megoldására megtesszük a lehetséges intézkedéseket, de ez nem alku tárgya.
Felhívjuk figyelmét, hogy amit elkövetetett, az bűncselekmény a BTK par. 423. szerint és felveti a kényszerítés tényállását is.
Kérjük a továbbiakban ne kíséreljen meg egyetlen tesztelést sem, nem adunk jogot semmifajta biztonsági tesztelésre, és kijelentjük, hogy ilyen tesztelésekre a korábbiakban soha nem adtunk semmifajta felhatalmazást.
Amennyiben bármilyen tőlünk ellopott adatot a továbbiakban is tárol, az bűncselekmény, személyes adatok tekintetében halmozottan bűncselekmény. Azok azonnali törlése legalább csökkentheti bűntetését.
Nem tudjuk megígérni, hogy nem működünk együtt a hatóságokkal az ügyben, de egyelőre nem tettünk feljelentést.
_______________________________________________________________________________________________________

DEszter.
2017. 05. 02. @ 11:05

Én:

Félreértettél, nincs szó se zsarolásról, se kényszerítésről. Olyan
dolgokat kértem!! (nem utasítottam, nem követelőztem), amikből nekem
nem származik sem anyagi, sem egyéb hasznom. A felhasználóknak joga
van tudni arról, hogy az adataikhoz illetéktelenek is hozzáférhettek,
ahogy én is, bárki más is hozzá juthatott ezekhez. A jelszócsere
szerintem evidens hogy miért, a hashalési algoritmus pedig azért
szorul cserére, mert a google hamarosan publikálni fogja az sha
exploitot, amivel gyerekjáték visszafejteni az ezekkel hashelt
jelszavakat (https://shattered.io).

Örülök hogy sikerült kijavítani a hibákat, ez volt a cél. De fontosnak
tartom a felhasználók és a média tájékoztatását az eset miatt, pláne
ha a userek máshol is azt a jelszót használták amit itt is.
___________________________________________________________________________________________________

DEszter.
2017. 05. 02. @ 11:06

Ennyit a zsarolásról...

a beszélgetés köztem és dávid péter között zajlott

beszmac
2017. 05. 02. @ 11:13
beszmac képe

Üdvözöllek.
Gyakorlatilag megtörtént, amit akartál, nem? Hiba javítva, userek értesítve, bocs, de az 5perc hírnév elmaradt.
Ha annyira segíteni akarsz, akkor szólsz, hogy bocs, ezt a hibát találtam és javítsátok ki, nem pedig a tor hálózat mögé bújva üzengetsz.
Most is lopott személyes adat mögé bújva írsz? Vagy valóban te vagy DEszter? Ez kinek jó?

Flatline
2017. 05. 02. @ 11:27

DEszter, köszönöm a megerősítést, első pillanattól kezdve tudtam, hogy nem volt itt semmi zsarolás vagy kényszerítés.

beszmac vádaskodás helyett jobb lenne, ha kicsit magatokba néznétek, nem pedig folytatni a meddő és értelmetlen kötekedést, vádaskodást és személyeskedést.

Egy riport még jót is tett volna az oldalnak, csak némi marketing affinitás kéne, hogy ezt megértsétek.

evone
2017. 05. 02. @ 11:29

beszmac: mikor lesz lehetőség a regisztráció törlésére?

Hozzá szeretnél szólni te is? Először be kell lépned!