Hlavní navigace

Hosting90 byl "hacknut". Jak k tomu došlo?

Jan Horna

[Oživeno] Je středa 27. října 2004 odpoledne, přesně 17:03. Na monitoru se mi objevuje ICQ zpráva: "Pěkný den, zajímá Vás ‘hack‘ webhostingových služeb?" Odpovídám, že ano. Samotná webhostingová společnost se o odkrytí svých dat dozvěděla od novinářů o dva dny později a dosud se nechce k celé záležitosti vyjadřovat.

Středa

Dozvídám se, že aféra se týká společnosti Hosting90 a jejích zákaznických dat. Dostávám odkaz na server www.zone-h.org, kde jsou údajně vystaveny přístupy na FTP servery zákazníků firmy. Zadám adresu do internetového prohlížeče, ale na první pohled nemůžu najít ohlašované informace. Nakonec v diskusním fóru nacházím avizovaná data, jde o příspěvek z 26. října. Seznam obsahuje stovky řádků, na každém z nich je uveden název domény, uživatelské jméno a heslo. Namátkově zkouším několik málo FTP serverů, připojení funguje bezchybně. Procházím jednotlivé adresáře, vidím veškerý obsah virtuálních serverů zákazníků služby Hosting90. Ti si pravděpodobně bezstarostně užívají podvečera a netuší, že jejich webové prezentace může kdokoliv změnit, smazat nebo jakkoliv poškodit. V 17:52 publikuji na svém blogu příspěvek Hosting90 byl ‘hacknut‘. Informace o „hacknutí“ webů Hosting90 je na světě a RSS kanály ji šíří mezi ostatní zájemce.

Čtvrtek

Celý následující den, tj. čtvrtek 28. října, zůstává můj příspěvek na www.euro-hosting.info/blog bez odezvy. Rovněž všechny zákaznické servery u firmy Hosting90 jsou plně k dispozici všem, kteří mají dlouhou chvíli a znají aspoň základy práce s FTP protokolem.

Pátek

Jako první reaguje na můj příspěvek o napadnutí webhostingové služby pan Kopta z Lupy. Kontaktuje mě v pátek 29. října krátce před polednem. Sděluje mi, že volal do firmy Hosting90, aby si potvrdil mnou publikovanou informaci o „hacku“. Webhostingová společnost však o žádném incidentu neví. Pan Kopta mně pak potvrzuje, že na Lupě zveřejní během pátečního odpoledne zmínku o útoku na službu Hosting90, a zároveň žádá o zaslání odkazu na stránku s FTP přístupy, aby si sám mohl ověřit má tvrzení. Pak mi ještě předává „poselství“ od společnosti Hosting90, že se hodlá bránit pomocí svého právního zástupce.

Je páteční poledne a konečně dostávám první emailovou zprávu od hlavního aktéra příběhu, firmy Hosting90. Pan Jelínek z technické podpory mě prosí o urychlené smazání příspěvku na serveru www.euro-hosting.info/blog s odůvodněním, že informace o údajném „hacknutí“ serverů Hosting90 je nepodložená. Pokud prý nedojde ke smazání příspěvku, bude firma Hosting90 celou záležitost chápat jako poškozování jména a řešit ji právní cestou. Po zaslání odkazu na zmíněnou stránku s FTP přístupy na servery zákazníků jsem se již dalších podobných reakcí od firmy Hosting90 nedočkal. Pravděpodobně ihned poté firma zajistila virtuální servery všech svých zákazníků tím, že změnila hesla k FTP serverům. To znamená, že více než tři dny byly webové prezentace všech zákazníků služby Hosting90 vystaveny potenciálnímu poškození.

V 15:00 vychází na Lupě krátká zpráva o „hacknutí“ webhostingové služby Hosting90. To probouzí další vlnu zájmu o incident a především to motivuje útočníka – hackera k dalšímu ataku na Hosting90. Reklamní tabulí hackera tentokrát není osvědčený zahraniční server, ale právě www.euro-hosting.info/blog. V 18:33 se objevuje u příspěvku Hosting90 byl ‘hacknut‘ nový komentář od uživatele jménem „zero“ s údajnou emailovou adresou info@hosting90.cz. Text komentáře zní: „Údajné ‘nahacknuté‘ FTP účty už změnili, teď přichází na řadu databáze“. Následuje asi 830 řádků s přístupovými údaji do MySQL databází zákazníků, vždy je uveden název domény, uživatelské jméno a heslo.

Sobota

Databáze jsou volně přístupné celou noc až do následujícího dopoledne, kdy v sobotu v 11:49 komentář upravuji. Mažu část příspěvku obsahující přístupová jména a hesla do databází a dávám to na vědomí společnosti Hosting90. Obratem mi děkují za úpravu komentáře a stažení přístupů s tím, že o tom vědí.

Pondělí, úterý

Je pondělí a já žádám firmu Hosting90 o oficiální vyjádření k celému incidentu. Odpověď přichází v úterý odpoledne od právního zástupce společnosti: firma Hosting90 s.r.o. se nehodlá k celé události nijak vyjadřovat. Záležitost je prý prošetřována orgány činnými v trestním řízení a poskytováním jakýchkoliv informací by se mohlo vyšetřování mařit. Jsem také důrazně vyzván, aby nebyly veřejně prezentovány žádné informace týkající se celé události. Pokud se tak stane, je firma Hosting90 připravena domáhat se náhrady případné škody. Nezbývá než dodat, že na webu www.hosting90.cz je v současnosti zmínka o „úspěšném boji proti virům a spamu“. Poslední krátká zpráva z pondělí 1. listopadu 2004 informuje o spuštění databáze PostgreSQL a PHP verze 4.3.9.

Závěr

Informace o napadení služby www.hosting90.cz se k provozovatelům dostala díky panu Koptovi z Lupy. Pokud by se tak nestalo, FTP servery zákazníků by byly asi volně dostupné až do dnešního dne. Pravděpodobnost poškození všech webových prezentací hostovaných u Hosting90 by tak byla velmi vysoká. O tom, kdo a proč „hack“ provedl, nemá cenu spekulovat. Útočník určitě využil buď nedostatečného technického zabezpečení hostingových serverů, anebo selhání lidského faktoru (vyzrazení administrátorských hesel apod.). O případných ztrátách webhostera je předčasné mluvit, stejně jako o tom, jak se bude firma Hosting90 s poškozením své pověsti vyrovnávat. Jednoznačné je ale v tomto okamžiku jedno: společnost naprosto selhala v externí komunikaci. Nevyjadřovat se k celému incidentu a nepřiznat problém, který ohrozil zákazníky, je ten největší prohřešek krizové komunikace.


4. listopadu 2004

Níže následuje vyjádření zástupců společnosti Hosting90, kterým nahrazujeme předchozí stanovisko advokáta Hostingu90, JUDr. Václava Luťchy.

Naše společnost nepopírá, že došlo k bezpečnostnímu problému na serverech Hosting90 a zároveň bychom rádi uvedli na pravou miru nepravdivé informace publikované v tomto članku. Naše společnost ihned po zjištění problému zablokovala FTP účty (11 hodin od uveřejnění na uvedeném serveru zone-h.org), tak, abychom předešli možným škodám. Následně proběhla důkladná analýza útoku a zabezpečení serveru a klientských dat. Celá záležitost je nyni již řešena s Policií ČR.

Tvrzení pana Horny ohledně naší nečinnosti a údajné dlouhodobé funkčnosti FTP hesel je nepravdivá. Naše společnost podnikla rozsáhlé bezpečnostní opatření, mezi které patřilo i zabezpečení veškerých dat klientů a rozsahlý bezpečnostní audit.

Závěr:

V době, kdy naši společnost pan Kopta informoval o vzniklém problému, byla již celá záležitost delší dobu v řešení.

Anketa

Myslíte si, že měla společnost Hosting90 problém přiznat?

Našli jste v článku chybu?

2. 12. 2004 10:12

root (neregistrovaný)
Tak to je ubohe a je zrejme ze Vam neslo o to komukoli pomoci, ale jen o to jak ziskat publicitu pro Vas smnesny blog. Coz je dos smutne a poukazuje to na Vasi ¨Inteligenci¨ i povahu.

13. 8. 2005 3:23

Tomáš (neregistrovaný)
K technické stránce:
HESLA SE MUSÍ UCHOVÁVAT JEN V HASHOVANÉ PODOBĚ, pak k něčemu takovému nemůže dojít.

Když někdo provozuje složbu jakou je webhosting, měl by aspoň tuhle základní věc vědět, pokud tedy nepoužívají speciální techniky ověřování ;)


Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla