Hlavní navigace

Z erotických webů uniklo 400 milionů hesel. 250 tisíc adres je ze Seznamu

Daniel Dočekal

Jde zatím o největší hack roku 2016. Na 400 milionů hesel z několika služeb firmy Friend Finder, provozující řadu erotických služeb, získali hackeři.

  • 11:10 – doplněny informace od Seznam.cz

Leaked Source v Sexual secrets for hundreds of millions exposed in largest hack of 2016 vcelku oprávněně označuje únik 400 milionů údajů o účtech na několika webech provozovaných společnosti Friend Finder za největší hack roku 2016. Co navíc, jak už je zvykem, kauza obsahuje tradiční směs nezodpovědnosti a ignorance na straně provozovatele. V úniku je navíc i skoro 250 tisíc účtů a hesel s mailem @seznam.cz.

Není nezajímavé, že v neděli večer, kdy se informace o úniku hesel začala masově šířit v amerických médiích, web www.adultfriendfinder.com přestal být dostupný. Zda šlo o následek uživatelů snažících se zachránit nezachránitelné, nebo zásah provozovatele, známo není. 

Přitom samotná informace o „hacku“ se poprvé objevila už někdy v druhé polovině října. Až neděle 13. listopadu ale přinesla konkrétní informace o podstatně větším rozsahu. A také v zásadě potvrzení původního „možná hacknuto“.

Odkud unikla hesla

Skoro 340 milionů hesel pochází z Adultfriendfinder.com, jedné z největších sexuálně orientovaných seznamek. Proti předchozímu úniku z „podváděcí“ seznamky Ashley Madison (viz například Co znamená, že něčí e-mail je v hacku Ashley Madison?) je tohle mnohonásobně silnější kalibr.

Přes 60 milionů hesel pochází z Cams.com. Webu, kde jste si mohli přes kameru lechtivě chatovat s modelkami. Necelý 1,5 milion pochází z Stripshow.com, což je další web, na který jste se mohli chodit dívat přes webcam. Z názvu asi tušíte, o co tam mohlo jít. Stejně tak jako na iCams.com, odkud je něco přes milion hesel.

Přes 7 milionů hesel uniklo z Penthouse.com, což je něco jako dospělácká verze magazínu Playboy. No a nakonec je něco přes 35 tisíc hesel z neznámých domén. Celkem jde přesně o 412 24 295 uživatelů, jejichž přihlašovací údaje jsou momentálně kompromitované.

Je dobré vědět, že v úniku je skoro 250 tisíc uživatelů s e-mailem @seznam.cz (a to pouze z Adult Friend Finder služby). V ideálním případě by to mělo znamenat, že Seznam.cz v tuto chvíli už všem e-mailům v tomto úniku resetoval heslo. Popravdě, s přístupem firmy k zabezpečení účtů (neumožňují ani dvoufaktor), bych na to příliš nesázel.

Takže pokud jste na výše uvedených webech měli účet, tak je vaše heslo veřejné známé. A pokud jste totéž heslo použili kdekoliv jinde, zejména k účtu na Seznam.cz, tak byste asi rychle měli začít všude měnit hesla.

DOPLNĚNO 14.11. 11:10: Podle mluvčí Seznamu Ireny Zatloukalové se firma snaží získat seznam zasažených adres a reset hesel u nich plánuje: „Pevně věříme, že naši uživatelé nepoužívají stejné heslo pro více služeb. Pokud ano, doporučujeme jim je změnit. A to na všech dalších službách, kde je měli stejné. Jinak se aktuálně snažíme získat seznam všech dotčených e-mailových adres, abychom u všech mohli preventivně vynutit změnu hesla a upozornit uživatele na opatrnost při užívání hesel na různých službách.“

Připomeňme, že v úniku z Ashley Madison bylo přes 17 tisíc e-mailů ze Seznam.cz, ale také třeba přes 2 a půl tisíce @centrum.cz. V tomto úniku je 250 tisíc @seznam.cz e-mailů a budou tam desetitisíce a tisíce e-mailů z dalších služeb.

Jak hesla unikla

Tady je nejprve nutné připomenout, že Adult Friend Finder už jeden únik zaznamenal někdy loni či předloni, ale tehdy šlo pouze o pár milionů hesel. Nikoliv kompletní databází uživatelů. Jak uvádí CSO Online v Researcher says Adult Friend Finder vulnerable to file inclusion vulnerabilities, nový hack umožnila bezpečnostní zranitelnost dovolují zahrnout soubory zvenčí (jejich obsah) tam, kam k tomu nikdy nemělo dojít.

Útočníkům se tuto zranitelnost podařilo najít na jednom z produkčních serverů pro Adult Friend Finder a následně se jim podařilo získat přístup k databázím jak na tomto serveru, tak na dalších serverech provozovaných stejnou společností. Včetně přístupu k souborům na serveru.

Podstatnou roli v tomto úniku nejspíš hraje 1×0123, stejný hacker, který v květnu tvrdil, že má podobně otevřený přístup do serverů Pornhubu (což se nakonec ukázalo jako hoax). Původní tweety ukazující děravost Adult Friend Finderu už ale na Twitteru nenajdete, @1X0123 účet byl Twitter pozastaven.

Nezodpovědnost i amatérismus

Amatérismus na jedné straně, nezodpovědnost na druhé. Začíná to bezpečnostním nedostatkem a pokračuje třeba tím, že všechny databáze měly stejná hesla a vše bylo, alespoň podle výše uvedených informací, snadno dostupné z jednoho místa.

Podstatně více alarmující ale je, že Adult Friend Finder nejspíš nemazal účty z uživatelské databáze poté, co je smazali jejich vlastníci. Analýza e-mailů v úniku totiž zjistila patnáct milionů e-mailů doplněných o „@deleted.com“ za původním e-mailem. A jak Leaked Source uvádí, samotný Adult Friend Finder takovéto e-maily neumožňoval použít pro registraci. Jediné další logické vysvětlení tedy je, že provozovatelé „smazané“ účty pouze označili a e-maily „zneplatnili“ tímto způsobem

Stejně alarmující je, že hesla ve Friend Finderu ukládali běžně v čistě textové podobě (přes 125 milionů hesel) a když už ne, tak pouze hashované pomocí SHA1. Z úniku je dnes už plných 99,3 % hesel plně známo pro Adult Friend Finder a podobné to je u dalších služeb.

Jako obvykle je zde vidět ignorance i na straně uživatelů. Přes 900 tisíc jich mělo heslo „123456“, přes 600 tisíc klasické „12345“. Uvážíme-li, že se pomocí těchto hesel přihlašovali na sexuálně orientované seznamky, tak je to už hodně alarmující.

Měli jste snad účet na některé z těchto služeb?

Přes 400 milionů účtů není maličkost. Pokud jste snad měli účet na některé z výše uvedených služeb, tak je jasné to, že vaše heslo je kompromitované a musíte ho změnit nejenom na této službě, ale kdekoliv jinde, kde ho také používáte.

MIF17

Znamená to ale také, že se cizí lidé dostali i k případným dalším informacím, které tyto služby o vás mají. Ať už jde o nějaké vámi vyplňované charakteristiky, informace o kontaktech, informace o tom odkud a kdy jste služby používali. Ale také jaké služby jste nakupovali.

Tady je nutno upozornit, že obvyklá kontrola na www.leakedsource.com v tomto případě nepomůže, s ohledem na zásadní riziko v tomto úniku se rozhodli neumožnit veřejnosti v této databází vyhledávat. Tedy alespoň prozatím, jak sami uvádějí.

Našli jste v článku chybu?