Hlavní navigace

Z erotických webů uniklo 400 milionů hesel. 250 tisíc adres je ze Seznamu

Daniel Dočekal 14. 11. 2016

Jde zatím o největší hack roku 2016. Na 400 milionů hesel z několika služeb firmy Friend Finder, provozující řadu erotických služeb, získali hackeři.

  • 11:10 – doplněny informace od Seznam.cz

Leaked Source v Sexual secrets for hundreds of millions exposed in largest hack of 2016 vcelku oprávněně označuje únik 400 milionů údajů o účtech na několika webech provozovaných společnosti Friend Finder za největší hack roku 2016. Co navíc, jak už je zvykem, kauza obsahuje tradiční směs nezodpovědnosti a ignorance na straně provozovatele. V úniku je navíc i skoro 250 tisíc účtů a hesel s mailem @seznam.cz.

Není nezajímavé, že v neděli večer, kdy se informace o úniku hesel začala masově šířit v amerických médiích, web www.adultfriendfinder.com přestal být dostupný. Zda šlo o následek uživatelů snažících se zachránit nezachránitelné, nebo zásah provozovatele, známo není. 

Přitom samotná informace o „hacku“ se poprvé objevila už někdy v druhé polovině října. Až neděle 13. listopadu ale přinesla konkrétní informace o podstatně větším rozsahu. A také v zásadě potvrzení původního „možná hacknuto“.

Odkud unikla hesla

Skoro 340 milionů hesel pochází z Adultfriendfinder.com, jedné z největších sexuálně orientovaných seznamek. Proti předchozímu úniku z „podváděcí“ seznamky Ashley Madison (viz například Co znamená, že něčí e-mail je v hacku Ashley Madison?) je tohle mnohonásobně silnější kalibr.

Přes 60 milionů hesel pochází z Cams.com. Webu, kde jste si mohli přes kameru lechtivě chatovat s modelkami. Necelý 1,5 milion pochází z Stripshow.com, což je další web, na který jste se mohli chodit dívat přes webcam. Z názvu asi tušíte, o co tam mohlo jít. Stejně tak jako na iCams.com, odkud je něco přes milion hesel.

Přes 7 milionů hesel uniklo z Penthouse.com, což je něco jako dospělácká verze magazínu Playboy. No a nakonec je něco přes 35 tisíc hesel z neznámých domén. Celkem jde přesně o 412 24 295 uživatelů, jejichž přihlašovací údaje jsou momentálně kompromitované.

Je dobré vědět, že v úniku je skoro 250 tisíc uživatelů s e-mailem @seznam.cz (a to pouze z Adult Friend Finder služby). V ideálním případě by to mělo znamenat, že Seznam.cz v tuto chvíli už všem e-mailům v tomto úniku resetoval heslo. Popravdě, s přístupem firmy k zabezpečení účtů (neumožňují ani dvoufaktor), bych na to příliš nesázel.

Takže pokud jste na výše uvedených webech měli účet, tak je vaše heslo veřejné známé. A pokud jste totéž heslo použili kdekoliv jinde, zejména k účtu na Seznam.cz, tak byste asi rychle měli začít všude měnit hesla.

DOPLNĚNO 14.11. 11:10: Podle mluvčí Seznamu Ireny Zatloukalové se firma snaží získat seznam zasažených adres a reset hesel u nich plánuje: „Pevně věříme, že naši uživatelé nepoužívají stejné heslo pro více služeb. Pokud ano, doporučujeme jim je změnit. A to na všech dalších službách, kde je měli stejné. Jinak se aktuálně snažíme získat seznam všech dotčených e-mailových adres, abychom u všech mohli preventivně vynutit změnu hesla a upozornit uživatele na opatrnost při užívání hesel na různých službách.“

Připomeňme, že v úniku z Ashley Madison bylo přes 17 tisíc e-mailů ze Seznam.cz, ale také třeba přes 2 a půl tisíce @centrum.cz. V tomto úniku je 250 tisíc @seznam.cz e-mailů a budou tam desetitisíce a tisíce e-mailů z dalších služeb.

Jak hesla unikla

Tady je nejprve nutné připomenout, že Adult Friend Finder už jeden únik zaznamenal někdy loni či předloni, ale tehdy šlo pouze o pár milionů hesel. Nikoliv kompletní databází uživatelů. Jak uvádí CSO Online v Researcher says Adult Friend Finder vulnerable to file inclusion vulnerabilities, nový hack umožnila bezpečnostní zranitelnost dovolují zahrnout soubory zvenčí (jejich obsah) tam, kam k tomu nikdy nemělo dojít.

Útočníkům se tuto zranitelnost podařilo najít na jednom z produkčních serverů pro Adult Friend Finder a následně se jim podařilo získat přístup k databázím jak na tomto serveru, tak na dalších serverech provozovaných stejnou společností. Včetně přístupu k souborům na serveru.

Podstatnou roli v tomto úniku nejspíš hraje 1×0123, stejný hacker, který v květnu tvrdil, že má podobně otevřený přístup do serverů Pornhubu (což se nakonec ukázalo jako hoax). Původní tweety ukazující děravost Adult Friend Finderu už ale na Twitteru nenajdete, @1X0123 účet byl Twitter pozastaven.

Nezodpovědnost i amatérismus

Amatérismus na jedné straně, nezodpovědnost na druhé. Začíná to bezpečnostním nedostatkem a pokračuje třeba tím, že všechny databáze měly stejná hesla a vše bylo, alespoň podle výše uvedených informací, snadno dostupné z jednoho místa.

Podstatně více alarmující ale je, že Adult Friend Finder nejspíš nemazal účty z uživatelské databáze poté, co je smazali jejich vlastníci. Analýza e-mailů v úniku totiž zjistila patnáct milionů e-mailů doplněných o „@deleted.com“ za původním e-mailem. A jak Leaked Source uvádí, samotný Adult Friend Finder takovéto e-maily neumožňoval použít pro registraci. Jediné další logické vysvětlení tedy je, že provozovatelé „smazané“ účty pouze označili a e-maily „zneplatnili“ tímto způsobem

Stejně alarmující je, že hesla ve Friend Finderu ukládali běžně v čistě textové podobě (přes 125 milionů hesel) a když už ne, tak pouze hashované pomocí SHA1. Z úniku je dnes už plných 99,3 % hesel plně známo pro Adult Friend Finder a podobné to je u dalších služeb.

Jako obvykle je zde vidět ignorance i na straně uživatelů. Přes 900 tisíc jich mělo heslo „123456“, přes 600 tisíc klasické „12345“. Uvážíme-li, že se pomocí těchto hesel přihlašovali na sexuálně orientované seznamky, tak je to už hodně alarmující.

Měli jste snad účet na některé z těchto služeb?

Přes 400 milionů účtů není maličkost. Pokud jste snad měli účet na některé z výše uvedených služeb, tak je jasné to, že vaše heslo je kompromitované a musíte ho změnit nejenom na této službě, ale kdekoliv jinde, kde ho také používáte.

Znamená to ale také, že se cizí lidé dostali i k případným dalším informacím, které tyto služby o vás mají. Ať už jde o nějaké vámi vyplňované charakteristiky, informace o kontaktech, informace o tom odkud a kdy jste služby používali. Ale také jaké služby jste nakupovali.

Tady je nutno upozornit, že obvyklá kontrola na www.leakedsource.com v tomto případě nepomůže, s ohledem na zásadní riziko v tomto úniku se rozhodli neumožnit veřejnosti v této databází vyhledávat. Tedy alespoň prozatím, jak sami uvádějí.

Našli jste v článku chybu?

14. 11. 2016 9:08

Kokos99 (neregistrovaný)

Nechápu, proč se tak moc hrotí hesla typu 123456. Je opravdu tak těžké pochopit, že třeba ti uživatelé nejsou ignoranti ale jenom otrávení lidé tím, že zase potřebují registraci, aby k něčemu měli přístup? Ano, někteří budou ignoranti, ale nebudou to všichni. Například občas potřebuju stáhnout něco z jednoho webu, ale z nepochopitelného důvodu (pro mne) je obsah dostupný pouze po registraci a přihlášení. Tam opravdu nebudu vymýšlet nějaké heslo, použiju minutový email a heslo je password a hotov…

14. 11. 2016 10:41

Petr (neregistrovaný)

Proč by Seznam měl resetovat hesla, která s tou službou nijak nesouvisí? Jestli si někdo dá na seznamku stejné heslo jako do mailu, tak je osel, ale takového člověka stejně už nezachrání a pokud by poskytovatel emailu resetoval hesla vždy, když se někde po světě nějaký únik objeví, tak předpokládám, že jediný, kdo se do toho mailu nedostane, bude nakonec vlastník :)

Lupa.cz: Na koho se v Křišťálové Lupě nedostalo?

Na koho se v Křišťálové Lupě nedostalo?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?