Hosting90 byl "hacknut". Jak k tomu došlo?

Středa

Dozvídám se, že aféra se týká společnosti Hosting90 a jejích zákaznických dat. Dostávám odkaz na server www.zone-h.org, kde jsou údajně vystaveny přístupy na FTP servery zákazníků firmy. Zadám adresu do internetového prohlížeče, ale na první pohled nemůžu najít ohlašované informace. Nakonec v diskusním fóru nacházím avizovaná data, jde o příspěvek z 26. října. Seznam obsahuje stovky řádků, na každém z nich je uveden název domény, uživatelské jméno a heslo. Namátkově zkouším několik málo FTP serverů, připojení funguje bezchybně. Procházím jednotlivé adresáře, vidím veškerý obsah virtuálních serverů zákazníků služby Hosting90. Ti si pravděpodobně bezstarostně užívají podvečera a netuší, že jejich webové prezentace může kdokoliv změnit, smazat nebo jakkoliv poškodit. V 17:52 publikuji na svém blogu příspěvek Hosting90 byl ‘hacknut‘. Informace o „hacknutí“ webů Hosting90 je na světě a RSS kanály ji šíří mezi ostatní zájemce.

Čtvrtek

Celý následující den, tj. čtvrtek 28. října, zůstává můj příspěvek na www.euro-hosting.info/blog bez odezvy. Rovněž všechny zákaznické servery u firmy Hosting90 jsou plně k dispozici všem, kteří mají dlouhou chvíli a znají aspoň základy práce s FTP protokolem.

Pátek

Jako první reaguje na můj příspěvek o napadnutí webhostingové služby pan Kopta z Lupy. Kontaktuje mě v pátek 29. října krátce před polednem. Sděluje mi, že volal do firmy Hosting90, aby si potvrdil mnou publikovanou informaci o „hacku“. Webhostingová společnost však o žádném incidentu neví. Pan Kopta mně pak potvrzuje, že na Lupě zveřejní během pátečního odpoledne zmínku o útoku na službu Hosting90, a zároveň žádá o zaslání odkazu na stránku s FTP přístupy, aby si sám mohl ověřit má tvrzení. Pak mi ještě předává „poselství“ od společnosti Hosting90, že se hodlá bránit pomocí svého právního zástupce.

Je páteční poledne a konečně dostávám první emailovou zprávu od hlavního aktéra příběhu, firmy Hosting90. Pan Jelínek z technické podpory mě prosí o urychlené smazání příspěvku na serveru www.euro-hosting.info/blog s odůvodněním, že informace o údajném „hacknutí“ serverů Hosting90 je nepodložená. Pokud prý nedojde ke smazání příspěvku, bude firma Hosting90 celou záležitost chápat jako poškozování jména a řešit ji právní cestou. Po zaslání odkazu na zmíněnou stránku s FTP přístupy na servery zákazníků jsem se již dalších podobných reakcí od firmy Hosting90 nedočkal. Pravděpodobně ihned poté firma zajistila virtuální servery všech svých zákazníků tím, že změnila hesla k FTP serverům. To znamená, že více než tři dny byly webové prezentace všech zákazníků služby Hosting90 vystaveny potenciálnímu poškození.

V 15:00 vychází na Lupě krátká zpráva o „hacknutí“ webhostingové služby Hosting90. To probouzí další vlnu zájmu o incident a především to motivuje útočníka – hackera k dalšímu ataku na Hosting90. Reklamní tabulí hackera tentokrát není osvědčený zahraniční server, ale právě www.euro-hosting.info/blog. V 18:33 se objevuje u příspěvku Hosting90 byl ‘hacknut‘ nový komentář od uživatele jménem „zero“ s údajnou emailovou adresou info@hosting90.cz. Text komentáře zní: „Údajné ‘nahacknuté‘ FTP účty už změnili, teď přichází na řadu databáze“. Následuje asi 830 řádků s přístupovými údaji do MySQL databází zákazníků, vždy je uveden název domény, uživatelské jméno a heslo.

Sobota

Databáze jsou volně přístupné celou noc až do následujícího dopoledne, kdy v sobotu v 11:49 komentář upravuji. Mažu část příspěvku obsahující přístupová jména a hesla do databází a dávám to na vědomí společnosti Hosting90. Obratem mi děkují za úpravu komentáře a stažení přístupů s tím, že o tom vědí.

Pondělí, úterý

Je pondělí a já žádám firmu Hosting90 o oficiální vyjádření k celému incidentu. Odpověď přichází v úterý odpoledne od právního zástupce společnosti: firma Hosting90 s.r.o. se nehodlá k celé události nijak vyjadřovat. Záležitost je prý prošetřována orgány činnými v trestním řízení a poskytováním jakýchkoliv informací by se mohlo vyšetřování mařit. Jsem také důrazně vyzván, aby nebyly veřejně prezentovány žádné informace týkající se celé události. Pokud se tak stane, je firma Hosting90 připravena domáhat se náhrady případné škody. Nezbývá než dodat, že na webu www.hosting90.cz je v současnosti zmínka o „úspěšném boji proti virům a spamu“. Poslední krátká zpráva z pondělí 1. listopadu 2004 informuje o spuštění databáze PostgreSQL a PHP verze 4.3.9.

Závěr

Informace o napadení služby www.hosting90.cz se k provozovatelům dostala díky panu Koptovi z Lupy. Pokud by se tak nestalo, FTP servery zákazníků by byly asi volně dostupné až do dnešního dne. Pravděpodobnost poškození všech webových prezentací hostovaných u Hosting90 by tak byla velmi vysoká. O tom, kdo a proč „hack“ provedl, nemá cenu spekulovat. Útočník určitě využil buď nedostatečného technického zabezpečení hostingových serverů, anebo selhání lidského faktoru (vyzrazení administrátorských hesel apod.). O případných ztrátách webhostera je předčasné mluvit, stejně jako o tom, jak se bude firma Hosting90 s poškozením své pověsti vyrovnávat. Jednoznačné je ale v tomto okamžiku jedno: společnost naprosto selhala v externí komunikaci. Nevyjadřovat se k celému incidentu a nepřiznat problém, který ohrozil zákazníky, je ten největší prohřešek krizové komunikace.

4. listopadu 2004

Níže následuje vyjádření zástupců společnosti Hosting90, kterým nahrazujeme předchozí stanovisko advokáta Hostingu90, JUDr. Václava Luťchy.

Naše společnost nepopírá, že došlo k bezpečnostnímu problému na serverech Hosting90 a zároveň bychom rádi uvedli na pravou miru nepravdivé informace publikované v tomto članku. Naše společnost ihned po zjištění problému zablokovala FTP účty (11 hodin od uveřejnění na uvedeném serveru zone-h.org), tak, abychom předešli možným škodám. Následně proběhla důkladná analýza útoku a zabezpečení serveru a klientských dat. Celá záležitost je nyni již řešena s Policií ČR.

Tvrzení pana Horny ohledně naší nečinnosti a údajné dlouhodobé funkčnosti FTP hesel je nepravdivá. Naše společnost podnikla rozsáhlé bezpečnostní opatření, mezi které patřilo i zabezpečení veškerých dat klientů a rozsahlý bezpečnostní audit.

Závěr:

V době, kdy naši společnost pan Kopta informoval o vzniklém problému, byla již celá záležitost delší dobu v řešení.