Hlavní navigace

Hostingu Czechia od firmy ZONER unikly přihlašovací údaje zákazníků [AKTUALIZOVÁNO]

David Slížek

Brněnský hosting Czechia.com, který patří pod firmu ZONER, oznámil únik dat svých zákazníků. Šlo o přihlašovací údaje k e-mailovým schránkám a webhostingovým službám. Jak velké části klientů se problém týkal, firma zatím nezveřejnila. Únik se týká i slovenské hostingovky Slovaknet, která také patří pod ZONER. Případ vyšetřuje policie.

Podle vyjádření firmy únik zřejmě souvisí s pokusem zaměstnance jednoho ze zákazníků o průnik na backend hostingu:

Koncem roku 2013 jsme zjistili podezřelou aktivitu na dedikovaném serveru jednoho z našich zákazníků. Na základě provedené analýzy jsme konstatovali pokus o útok na náš backend zaměstnancem daného zákazníka, ale neměli jsme žádné indicie nebo důkazy o tom, že by se udál závažný bezpečnostní incident a došlo k ukradení jakýchkoliv dat. … V letošním roce jsme zjistili, že bezpečnostní incident související s podezřelou aktivitou na zákaznickém serveru znamenal únik dat (v podobě, která neumožňuje jejich přímé zneužití). Okamžitě jsme Policii ČR podali trestní oznámení a bylo zahájeno vyšetřování. Současně Policie ČR učinila opatření vedoucí k ochraně zcizených dat a zamezila dalšímu přístupu k nim.

V uniklých datech podle firmy nebyly žádné osobní údaje a uniklá hesla byla zahashována algoritmem SHA-1. Podle firmy to znamená, že je nejde jednoduše prolomit, což je ale přinejmenším hodně optimistické tvrzení (o relativní snadnosti prolamování zahashovaných hesel podrobněji čtěte v Jak jsem crackoval hesla z úniku Mall.cz bezpečnostního experta Michala Špačka).

„Nezaznamenali jsme masové pokusy o zneužití uniklých dat,“ tvrdí ZONER. Údaje ze seznamu uniklých dat podle firmy momentálně stále používá asi 7 % zákaznických účtů. Firma podle svých slov dotyčné zákazníky kontaktuje a pomáhá jim údaje změnit.

Firmě jsme poslali řadu doplňujících dotazů, do textu je doplníme, jakmile dostaneme odpovědi.


Aktualizace 21:05 – Na naše dotazy odpověděl Ředitel oddělení ICT security ZONERU Jindřich Zechmeister. Odpovědi publikujeme v plném rozsahu:

Kolika zákazníků se únik týká?

Incident se týká 6500 zákaznických účtů, přičemž reálně může být číslo nižší díky duplicitním účtům.

Kdy k němu došlo?

Dostupnost uniklých dat na Internetu jsme zjistili letos v létě na základě upozornění bezpečnostního specialisty pana Michala Špačka. Přesné datum samotného úniku už zpětně nedokážeme určit, podle analýzy uniklých dat se jedná o podzim roku 2013.

Jak jste na únik přišli?

Jak jsme již výše uvedl, informaci o úniku jsme obdrželi od specialisty Michala Špačka. Ten data našel náhodou při hledání SHA-1 hashů často používaných hesel.

Jakým způsobem se útočníci k datům dostali?

Útočník, zaměstnanec jednoho z našich zákazníků, zneužil služby tzv. managed hostingu, kdy webhostingové služby běží na dedikovaném serveru zákazníka, ale současně je server pod správou administrativního panelu Czechie. Zde se mu díky nestandardním požadavkům na nastavení serveru podařilo dostat mimo vymezený prostor a objevit nedostatek v zabezpečení systému.

Kdy a jak jste o situaci informovali své klienty?

Dnes jsme vydali prohlášení a informujeme konkrétní zákazníky služeb s informacemi o tom, která hesla je třeba změnit. Informaci jsme vydali neprodleně po tom, kdy jsme si byli jisti, že nezasáhneme do policejního vyšetřování.

Píšete, že uniklé údaje stále platí u 7 % účtů – znamená to, že ostatním klientům jste přihlašovací údaje změnili? Nebo si je změnili sami, nezávisle na úniku?

Czechia poskytuje celou řadu služeb, od registrace domén přes serverhosting, virtuální servery, cloudové služby apod. Únik se týká pouze malé části služeb, konkrétně přihlašovacích účtů elektronické pošty a linuxového webhostingu. Dále, uniklá data jsou poměrně stará. Od té doby řada účtů přirozeně zanikla, služby přešly pod jiné poskytovatele, případně si zákazníci sami změnili heslo. Zákazníky totiž opakovaně vyzýváme je k použití silných hesel a například v administraci e-mailových služeb máme moderní ověřovač síly hesla, který se nenechá obelstít např. oblíbeným „zesílením“ hesla přidáním číslovky na jeho konec.

V případě stále platných hesel jsme vyzvali klienty ke změně. Hesla nemůžeme změnit jednostranně bez vědomí zákazníků, protože by to způsobilo znefunkčnění jejich služeb.

Píšete, že hesla byla zahashována algoritmem SHA-1 a že je lze jen těžko prolomit. Jste si tím jistí? SHA-1 je, pokud vím, naopak poměrně snadno prolomitelný hrubou silou…

Ano, máte pravdu. SHA-1 lze už dnes lámat snadno díky pronájmu výpočetní kapacity a registrujeme demonstrace těchto postupů odborníky jako je pan Špaček. Zmínka v prohlášení to nepopírá ani nezlehčuje, pouze má úplným laikům přiblížit to, že lámání hesel v SHA-1 vyžaduje znalosti a vybavení. Pokud by se na prolomení někdo zaměřil, tak ho jistě dosáhne, ale takové informace nemáme a pokud služby rychle přeheslujeme, tak věříme v eliminaci rizika dopadajícího na zákazníky.

Jaká opatření jste přijali? Budete např. používat silnější hashovaní hesel?

Ano. Všude, kde je to technicky možné, jsme SHA-1 již před delší dobou vyřadili ve prospěch silnějších funkcí, jako je bcrypt. Byli jsme si vědomi rizika zmíněného v předchozí otázce a nutnosti upgradu; například TLS certifikáty, které prodáváme a ZONER též používá, přešly kompletně na SHA-2 už před rokem či dvěma.

Našli jste v článku chybu?