Hlavní navigace

Libimseti.cz po hacknutí zvyšuje bezpečnost

 Autor: 21971
Patrick Zandl

Po posledních bezpečnostních problémech pracoval jeden z největších českých komunitních serverů Líbimseti na zvýšení bezpečnosti. Vynucená změna všech uživatelských hesel a jejich šifrování a zvěsti o tom, že úspěšných hackerských útoků kompromitujících hesla bylo více, takové jsou poslední zprávy.

Když na podzim loňského roku unikly fotografie ze soukromých alb na Libimseti, byl to jeden z řady signálů, že bezpečnost tohoto komunitního portálu není na nejlepší úrovni. Zhruba deset tisíc fotografií slečen v kalhotkách a podprsence mohlo znepříjemnit majitelkám život, ale šlo jen o 1164 uživatelek (podle oficiálních informací), což je z celkového počtu uživatelů velmi málo. O příčině chyby se široce diskutovalo a spekulovalo už proto, že oficiální vyjádření se příčinám hacku vyhnulo, spíše se věnovalo popírání jakékoliv právní odpovědnosti, což jsme ostatně kritizovali i na Lupě ve článku Kauza Líbímseti: Král je nahý. Tomáš Kapalín za server Líbímseti.cz ujišťoval, že podobná situace by se neměla opakovat.

Pak se nějakou dobu viditelně nic nedělo, až 14. ledna 2009 Líbímseti při přihlášení začalo vyžadovat změnu hesla, které nově muselo být zadáno komplikovanější, o minimální délce osmi písmen a alespoň s jednou číslicí. Obecně nebyla změna uživateli přijata nadšením, ale po drobných technických problémech se prosadila.

Libimseti.cz upozornění na nutnost změny hesla

Při přihlášení po 14. lednu 2009 začalo Líbímseti vyžadovat volbu nového hesla.

Hesla nově šifrována v MD5

Ukázalo se, že Líbímseti přešlo konečně na obvyklou formu zabezpečení hesel, na MD5 hash. Do té doby byla všechna hesla uložena jako čistý text, takže kdokoliv, kdo by získal přístup k databázi, mohl také získat plná hesla uživatelů. A libovolně je využít. Uživatelé totiž mají tendenci používat stejná uživatelská jména a hesla pro stejné typy služeb, takže by bylo možné podobnou databázi například použít k útoku na e-mailové servery a informace v nich uložené.

Tomáš Kapalín z Líbímseti.cz sám přiznává, že před zhruba čtyřmi měsíci došlo k tomu, že někdo ukradl třetinu historické zálohy hesel na našem vyřazeném stroji plus hesla k zamčeným albům. Ondřej Procházka, technický ředitel Líbímseti.cz, upřesňuje: V srpnu a září loňského roku došlo ke kompromitaci bezpečnosti několika našich starších serverů, která vedla k úniku obsahu zamčených alb našich uživatelů. V návaznosti na shora zmíněný průnik provedla naše společnost bezpečnostní audit, kterým bylo zjištěno, že útočník mohl získat přístup i k historické záloze databáze našich uživatelů, a tím i k jejich heslům. Ačkoliv se nám ani únik, ani použití těchto informací nepodařilo prokázat, přijali jsme od té doby řadu opatření k potlačení bezpečnostních rizik, které audit odhalil.

Tato opatření lze rozdělit do dvou kroků, Ondřej Procházka je specifikuje: Před Vánoci naše společnost přešla z dosavadního uložení hesel ve formě čistého textu na uložení s použitím jednosměrného kryptování. Znamená to, že ani únik uživatelské databáze v důsledku selhání techniky nebo lidského faktoru soukromí našich uživatelů v budoucnu neohrozí. Od ledna tohoto roku jsme stanovili přísnější pravidla pro volbu hesel našich uživatelů, která by je měla chránit před jejich nechtěným vyzrazením. Je sice politováníhodné, že na takovou samozřejmost, jako je šifrování hesel, přechází „Líbko“ až nyní, ale v každém případě je to krok dobrým směrem.

Špatná informovanost vede ke spekulacím

Horší je, že se ale objevily i jiné důvody a tlaky vedoucí k těmto úpravám. Líbímseti prý bylo znovu hacknuto, a to v noci z 10. na 11. ledna. Útočníkovi se mělo podařit vložit PHP kód do stránek Líbímseti a tím získal vládu nad daty uloženými na serveru. Útočník přicházející z čínské sítě se údajně nijak neskrýval, na druhou stranu také nenadělal žádnou větší neplechu, než že narušil bezpečnost serveru a nějaká data si stáhl jako svou trofej. Takové spekulace se objevily na undergroundových kanálech, kde měla být hesla k Líbímseti údajně i k dostání a informaci o lednovém hacku Líbímseti nám potvrdily i dva zdroje z Líbímseti, které si nepřály být jmenovány. Informoval též Vreco.cz.

Zástupci Líbímseti ale informaci o lednovém hacknutí „Líbka“ popírají. Skoro každý den dostáváme nabídku na koupi hesel našich i cizích serverů, to nelze brát vážně, říká Tomáš Kapalín. A zároveň připomíná, že může jít o informace od zahořklého uživatele nebo bývalého zaměstnance. Což jistě může být pravda. Bohužel Líbímseti.cz si za svou pověst bezpečnostní díry českého Internetu může samo a spekulace o tom, že změna systému přihlašování v Líbímseti v polovině ledna byla vynucenou reakcí na další průnik do děravého systému a ztrátu nezaheslovaných hesel, zní v tomto kontextu příliš věrohodně. Bez ohledu na to, jaká jsou tvrzení zástupců Líbímseti, ta byla již v minulosti stejná, jako bezpečnost jimi provozovaného serveru: nepřesvědčivá.

Ponaučení

Hlavním problémem je, že není vůbec zřejmé, v jakém množství se po Internetu potulují hesla českých uživatelů do Líbímseti, a ve skutečnosti, že provozovatel serveru nijak své uživatele nevaroval, že by si měli změnit heslo i na jiných službách. To, že dnes jsou hesla uživatelů na samotném „Líbku“ změněná a v MD5, neřeší to, že páry uživatelské jméno / heslo mohou být použity při útoku na účty jinde. Můžete namítnout, že to je problém uživatelů, kteří používají pro řadu služeb stejné heslo, jenže v praxi není kvůli množství serverů požadujících přihlášení diverzita hesel bez manažeru hesel proveditelná. Uživatelé mohou hesla používat (a často i používají) najednou pro více jiných služeb, v lepším případě mají několik „kruhů“ bezpečnosti, pro každý kruh jiné heslo, nakonec i tato uživatelská „strategie“ je důvodem, proč bankovní aplikace heslo raději generují v nelidské změti znaků či mají větší nároky na jeho vytvoření. Závěr pro uživatele je jednoznačný: pokud jste měli uživatelský účet na Líbímseti a stejné přihlašovací údaje používáte i jinde, změňte si je.

Bezpečnostní problémy Líbímseti jsou daní za jeho časný a v Česku tolik ojedinělý úspěch, který připomíná Facebook. Původní aplikace Líbímseti byla napsána začátečníkem, nepříliš kvalitně, jenže se dostavil úspěch, návštěvnost rostla a bylo třeba zvládat především ji. Tím ale nelze omluvit to, že bezpečnostním auditem aplikace prošla až koncem roku 2008, dlouhodobě „Líbko“ bezpečnost podceňuje. Vlastní mu není ani informovanost o bezpečnostní politice, ani prevence a edukace uživatelů o zneužitelnosti informací, které do sociálních sítí publikují. Přitom právě tato prevence patří u sociálních sítí mezi základní prvky společenské zodpovědnosti, v zahraničí je ostře sledováno, jak jednotlivé sociální sítě své uživatele varují před tím, kam a jaká data zadávají. V tomto má Líbímseti (a nakonec v menší míře i Lidé.cz) co dohánět. Tohle je například stránka nápovědy Líbímseti.cz věnovaná ochraně osobních údajů:

Libimseti.cz ochrana osobních údajů

Ano, je možné, že Líbímseti se teď soustředí na nalezení kupce či strategického partnera, ale právě bezpečnostní díry a průšvihy by mělo řešit transparentně, zodpovědně i vůči uživatelům, aby si „Líbko“ budovalo statut důvěryhodnosti, bez ohledu, na potenciálního investora. Jinak to v sociálních sítích nejde. S pověstí bezpečnostní díry českého Internetu mu jeho uživatelé budou fandit snad už jen díky své nezkušenosti ve věcech bezpečnosti.

Situaci kolem Líbímseti.cz pravidelně sledujeme

Anketa

Používáte vždy "bezpečná" hesla?

Našli jste v článku chybu?

3. 2. 2009 8:26

8 znaků, z toho 1 číslo... To většina uživatelů Libka intelektuálně nezvládne.

3. 2. 2009 9:51

A z toho plyne pro uživatele internetu jedno zásadní pravidlo:

Co někam jednou dobrovolně digitalizuješ, to se stává obecným majetkem pro všechny a už to nikdy nepůjde odstranit.

Nemusí to přece nikdo hackovat. Stačí aby kamarád měl chvíli přístup, udělal si záloha a až později nebude kamarád, roztahal to po celém netu.

Vždyť existují celé servery, kam sviňáčtí hajzlíci dávají porno videa svých bývalých přítelkyň. Kolik existuje holek, které pláčou "vždyť jste říkali, že to bude jen pro …





Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka