Miliony hacknutých účtů v ohrožení. I v Česku

RockoYou je systém, ktorý umožňuje do sociálnych sietí ako je Facebook, či MySpace, ale i do osobných blogov integrovať rôzne widgety, ktoré užívateľom umožňujú upraviť si svoje fotografie, videá, profily, atď. z jediného miesta a zadarmo.

Na bezpečnostnú zraniteľnosť v podobe SQL Injection v systéme RockYou upozornila bezpečnostná konzultačná spoločnosť Imperva. Po zneužití zraniteľnosti bolo možné získať neautorizovaný prístup k databázam spoločnosti, v ktorom sa nachádzajú kontá jednotlivých užívateľov. Spoločnosť RockYou na upozornenie zareagovala promptne, systémy dočasne znefunkčnila a zraniteľnosť okamžite odstránila.

Ani nie 24 hodín po oficiálnej správe publikoval na svojom blogu hacker vystupujúci pod prezývkou igigi informácie, ktoré naznačujú, že sa mu podarilo získať neautorizovaný prístup do databáz RockYou ešte pred odstránením zraniteľnosti a získať všetky údaje. Na blogu publikoval zoznamy databáz a tabuliek, spolu s malou scenzurovanou časťou užívateľských kont. Podľa všetkého sa v dobe odcudzenia nachádzalo v databáza neuveriteľných 32 603 388 užívateľských kont, ktoré obsahujú e-mail a heslo každého užívateľa. Najzarážajúcejší je však fakt, že hesla neboli v databáze nijakým spôsobom šifrované a teda boli ukladané ako bežný text.

Dnes už nie je žiadnym tajomstvom, že užívatelia často používajú rovnaké heslá naprieč rôznymi službami. Igigi vyhlásil, že minimálne polovica prístupových údajov bude zhodná s prístupovými údajmi pre ďalšie služby ako MySpace, Facebook, či dokonca priamo mailové služby, ako Gmail, alebo Yahoo. To by znamenalo, že sa jedná o najväčší únik užívateľských kont v histórii.

Igigi ďalej varuje, že ak bude spoločnosť RockYou zavádzať svojich užívateľov, mieni publikovať všetky údaje v nescenzurovanej podobe. Výsledkom takéhoto kroku by boli tisícky hacknutých užívateľských kont, odcudzené osobné dáta,  ako napríklad e-maily a v neposlednej rade pravdepodobne aj finančné prostriedky vďaka prepojeniu emailu so systémami ako PayPal. Taktiež netreba zabúdať na spamerov, ktorí sú už teraz podľa komentárov na igigiho blogu ochotní zaplatiť za získanie iba e-mailov užívateľov.

Najzávažnejším problémom je však prístup RockYou k svojím užívateľom. Ešte včera po oficiálnom ohlásení objavenej a ošetrenej zraniteľnosti spoločnosť tvrdila, že bolo kompromitovaných len niekoľko užívateľských kont a týchto užívateľov už začala upozorňovať. Ako dnes už vieme, kompromitované boli všetky kontá užívateľov. Podľa oficiálneho vyhlásenia RockYou pre Techcrunch, spoločnosť zaznamenala úspešný prienik do ich databáz už 4. decembra a kompromitované boli „len“ kontá používateľov, ktoré boli vytvorené priamo na RockYou.com a nie kontá, ktoré boli spojené s aplikáciami na sociálnych sieťach. V tomto momente sa naskytá otázka, prečo spoločnosť čakala až 10 dní do oznámenia prieniku. Rovnako nie je jasné, ako by sa mohlo igigimu podariť získať kontá užívateľov priamo z Facebooku, ktorý tretím stranám nesprístupňuje údaje ako napríklad heslo a taktiež vo svojich pravidlách zakazuje zbieranie a ukladanie údajov o užívateľoch, ktoré nie sú potrebné na výpočty, resp. funkčnosť aplikácie. Spoločnosť plánuje začať všetkým dotknutým užívateľom rozosielať e-mail, v ktorom ich upozorňuje na vzniknutú situáciu so slovami Cítime, že je dôležité informovať vás o vzniknutej situácii okamžite, aby ste mohli vykonať akékoľvek úkony pre ochranu svojho súkromia. Po 10 dňoch je však už trošku neskoro.

I naďalej nie je úplne jasné, kedy v skutočnosti k prieniku došlo. Spoločnosť ho síce znamenala 4. decembra, no je dosť možné, že sa stal ešte skôr.

ČSFD

I keď sa v tomto prípade jedná o igigiho doposiaľ najväčší úlovok, už pred časom informoval o svojich úspešných prienikoch do troch česko-slovenských webov. Medzi nimi sa objavil aj veľmi populárny systém pre hodnotenie filmov CSFD.cz.

Igigimu sa vraj podarilo získať prístup k 147 901 kontám z celkového počtu 187 152. Administrátori ČSFD si pravdepodobne prienik všimli a zraniteľnosť opravili. Igigi však tvrdí, že v systéme parazitoval niekoľko týždňov, pokým bola zraniteľnosť opravená. Podľa doposiaľ dostupných informácií sa dá predpokladať, že spomínanou zraniteľnosťou je tzv. Blind SQL injection. Je to jedna z najčastejšie sa objavujúcich sa zraniteľností. Jej podstatou je, že sa namiesto chybového hlásenia mení správanie zraniteľného webu. Vtedy musí útočník získavať každý údaj z databázy písmenko po písmenku. To by vysvetľovalo, prečo sa igigimu nepodarilo získať všetky užívateľské kontá. Heslá sa v databáze nenachádzali v textovej forme, alebo boli zahashované za pomoci MD5.

Zaujímavá bola aj reakcia ČSFD. Od Martina Pomothyho prišiel niektorým užívateľom e-mail, v ktorom sa píše:

Mily uzivateli.
Prevod archivace hesel do nového systemu, kterym CSFD definitvne opoustí struktury zastarale mysql databaze, nebyl lizani medu a bude trvat jeste nekolik dni. Soucasna situace je nasledujici – ti z vas, kterym uz bylo zaslano nove heslo, jste “za vodou” a ti z vas, kteri jste ho z technickych duvodu neobdrzeli, si ho muzete vygenerovat ZDE (bude vám zaslano na e-mail, ktery mate evidovan ve svem CSFD profilu). Vam, kdo jste prosli traumatem z dvoudenni nemoznosti prihlasit se do CSFD, se osobne hluboce omlouvam a pokud by u vas nedejboze tento problem pretrvaval i po pouziti zminene utilitky, okamzite mi napiste na pomo@csfd.cz.
Jsme jedna rodina. CSFD forever.
Martin Pomothy

Ako uviedol igigi na svojom blogu, podľa neho systém ČSFD nepoužíva databázový systém MySQL, ale systém PostgreSQL. To by mohlo znamenať, že tím ČSFD úmyselne zavádzal svojich užívateľov a snažil sa tento únik maskovať inou, pravdepodobne vymyslenou udalosťou.

Martin Pomothy z ČSFD.cz odeslání tohoto emailu vysvětluje: E-mail tohoto znění jsme rozposlali přes jednorazově vytvořený skript uživatelům ČSFD v daleké minulosti při přechodu z mysql na postgres databázi (což je z něj snad EVIDENTNÍ). Tento skript pak (chybou tehdejsího technologa) zůstal na serveru a byl spustitelný prakticky kýmkoliv, kdo zadal URL adresu končící názvem skriptu. Tento skript však nyní, opětovně, nespustil nikdo z ČSFD. V první chvíli, kdy jsme ještě o žádném nabourání do hesel nevěděli a “záhadné spuštění skriptu” jsme přikládali náhodně procházejícímu robotovi, jsem rozposlal všem uživatelům ČSFD interní zprávu, ať tento e-mail ignorují. Tutu “bagatelizující zprávu” (jak ji v médiích rádi označujete, aniž byste tušili o co v jádru věci jde, aniž byste mě kontaktovali pro vysvětlení!), jsem tedy NErozposlal ČSFD uživatelům proto, abych něco zakrýval! Když mi bylo později nabourání do hesel potvrzeno ze strany našich technologů, podnikl jsem všechny kroky, aby byly ČSFD uživatelé o situaci informováni a hesla si rychle změnili!

Pár dní na to, ako igigi publikoval svoj článok, prišiel užívateľom ČSFD ďalší e-mail od Martina Pomothyho, v ktorom už únik užívateľských kont priznávajú a odporúčajú zmeniť si heslo v systéme.

Milí ČSFD uživatelé, předem se omlouváme za tento nevyžádaný, ale důležitý e-mail.
Doporučujeme Vám změnit si heslo, pod kterým se přihlašujete do ČSFD, nebo si nechat vygenerovat heslo nové. I když to tak ještě o víkendu nevypadalo, máme podezření, že byla nabourána část ČSFD systému, která zahrnuje databázi uživatelských hesel. Tato událost nebude mít vážné následky a pouze poukazuje na drobnou slabinu v systému, jejíž ošetření bude krokem k vyšší bezpečnosti. Heslo Vám doporučujeme změnit do formátu v rozsahu nejméně 8 znaků, tak, aby obsahovalo malá a velká písmena i číslice.
a) Cesta ke změně hesla po přihlášení do ČSFD účtu je: Můj účet / Můj profil / změnit heslo
b) Sekce pro vygenerování nového hesla, které vám bude posláno na váš e-mail (bez nutnosti logovat se do ČSFD účtu), je zde: http://www.csfd­.cz/lostpwd.php
Děkujeme za pochopení a moc se omlouváme za potíže.
ČSFD navěky!
Martin Pomothy

Prečo baywords

Igigi totožnosť zatiaľ známa nie je. Jeho blog sa objavil len začiatkom decembra a už priniesol niekoľko veľmi zaujímavých informácií o prienikoch, ktoré sa mu podarilo. Je to určite varovný prst pre ostatné spoločnosti, že zanedbať bezpečnosť sa nevypláca a je dosť pravdepodobné, že igigi sa už čoskoro pochváli ďalšími úlovkami. Ako blogovaciu platformu si vybral igigi baywords.com. BayWords je plne postavený na systéme Wordpress MU, čím sa vlastne stáva kópiou úspešného systému Wordpress.com. Zásadnou odlišnosťou medzi BayWords a ostatnými blogovacími platformami je, že BayWords odmieta cenzúru a rovnako spoluprácu so silovými zložkami. BayWords odmieta ukladať akékoľvek informácie o svojich užívateľoch a teda je ich dolapenie veľmi nepavdepodobné.

Na BayWords sa tak v posledných mesiacoch objavilo niekoľko podobných blogov, ktoré pravdepodobne inšpirovali aj samotného igigiho. Medzi prvých „pionierov“ patrí určite rumunský hacker unu, ktorému sa podarilo objaviť SQL Injection na portáloch ako Kaspersky.com, alebo News.com. Postupne sa pridali aj ďalší a dnes počet blogerov, ktorí píšu o svojich úspešných prienikoch presiahol tucet a určite sa pridajú aj ďaľší.