12:26
17/8/2012

Kilka dni po naszym artykule opisującym dziwne prośby o reset hasła pojawiające się u niektórych użytkowników serwisu Chomikuj.pl odezwał się do nas człowiek, który zaoferował sprzedaż listy zawierającej 2 miliony haseł do kont na Chomikuj.pl

Chomikuj.pl wymusza zmianę haseł

Przypomnijmy, kilka dni temu serwis Chomikuj.pl zaczął niektórym użytkownikom wyświetlać przy logowaniu komunikat, że użyte hasło do konta jest słabe i należy je ustawić na silniejsze. Komunikat nas zainteresował, bo pojawiał się u zarówno u niektórch użytkowników, którzy mieli skomplikowane, długie hasła, a jednocześnie nie pojawiał się niektórym użytkownikom korzystającym z bardzo prostych haseł.

chomikuj.pl zmiana hasła

chomikuj.pl zmiana hasła – fot. 144r33k

Piotr Hałasiewicz z Chomikuj.pl poinformował nas wtedy, że reset haseł wymuszono nie tylko na kontach, które miały słabe hasła, ale również na kontach, które w ostatnim czasie miały nieudane próby logowania. Okazało się także, że nie było żadnego wycieku bazy z serwisu Chomikuj.pl, a jedynie ktoś przypuścił atak brute-force (albo słownikowy) i odgadł hasła części użytkowników. Jak duża była ta część? Tego w oświadczeniu Chomikuj.pl przesłanym do redakcji Niebezpiecznika nie zdradzono…

2 miliony kont Chomikuj.pl na sprzedaż

Można jednak domyślać się, że chodzi o 2 miliony użytkowników. Ze sprzedażą takiej liczby loginów i haseł zwrócił się do nas kilka dni po publikacji artykułu ktoś podpisujący się jako “A S“. “A S” chciał dowiedzieć się ile jesteśmy gotowi zapłacić za listę 2 milionów kont z hasłami do serwisu Chomikuj.pl. Atakujący nadmienił także, iż propozycję wysłał do kilku innych serwisów (nieoficjalnie dowiedzieliśmy się, że chodzi m.in. o największe w Polsce portale).

AS

Pierwszy z e-maili włamywacza

Poprosiliśmy o weryfikację, że sprzedawane dane są prawdziwe, ale “A S” wzbraniał się, twierdząc, że musi najpierw poznać kwotę, którą chcemy dać za bazę, a dopiero później udzieli informacji. Udało nam się jednak dowiedzieć, że jest to zwyczajna lista loginów i haseł (bez adresów e-mail) i że “A S” będzie usatysfakcjonowany kwotą 15 tys. PLN (to w przeliczeniu ok. 0,0075 PLN za konto na Chomikuj.pl).

AS chomikuj.pl hasła

Kolejny z e-maili AS w sprawie haseł chomikuj.pl

Serwis Chomikuj.pl, w rozmowie z nami potwierdził wiarygodność listy, informując, że “A S” jest tą samą osobą, która ostatnio podesłała administracji Chomikuj.pl próbkę 10 000 poprawnych loginów i haseł do kont na Chomikuj.pl. Czy atakujący rzeczywiście posiada 2 miliony kont, tego pewnie szybko się nie dowiemy.

Dodatkowo dowiedzieliśmy się od “A S”, że posiada on również podobne listy kont z innych serwisów. Zaczął od ujawnienia Chomikuj.pl, bo jak twierdzi ostatnio zrobiło się o tym serwisie głośno z powodu zbiorowego pozwu.

Co zrobić z listą 2 milionów loginów i haseł do Chomikuj.pl?

Po pierwsze: zapewne oferowana na sprzedaż lista w rzeczywistości zawiera mniej niż 2 miliony działających kont, a to ze względu na to, że Chomikuj.pl wymusiło zmianę haseł. Po drugie, ponieważ oferowana przez “A S” na sprzedaż lista nie jest efektem przełamania zabezpieczeń serwisu Chomikuj.pl (brak włamania), a jest wynikiem “zgadywania” haseł, zawiera więc ona wyłącznie loginy i hasła (nie ma na niej imion, nazwisk, adresów czy e-maili). Nie jest więc ona byt przydatna dla tych, którzy chcieliby przeprowadzić tzw. ataki skierowane, czyli zaatakować konkretną osobę (np. nielubianego kolegę z pracy).

Przyczyna jest prosta: nie da się znaleźć na liście swojej ofiary, jeśli nie zna się jej loginu w serwisie Chomikuj. Z tego powodu większość złodziejów baz danych udostępnia funkcję wyszukiwania w swoich wykradzionych bazach po różnych parametrach (e-mail, nazwisko), umożliwiająć tym samym kupno jednego, konkretnego rekordu, który na pewno należy do ofiary na której może komuś zależeć. Tak działa m.in. nvm, który w sieci TOR prowadzi usługę trudniącą się sprzedażą wykradzionych danych osobowych.

Poznawszy hasło, które ofiara ustawiła do konta na Chomikuj, atakujący zazwyczaj sprawdza w kolejnym kroku, czy hasło to pasuje również do innych kont ofiary (np. na Facebooku, Allegro, NK.pl, itp.). Jest wielce wątpliwe, żeby atakującemu zależało na przejęciu czyjegoś konta na Chomikuj.pl — nie ma ono zbyt wielkiej wartości. Co innego skrzynka pocztowa, która przecież może być chroniona tym samym hasłem…

Ta lista mogłaby być kąskiem jedynie dla firm z branży audio-video. Użytkownikom Chomikuj.pl zarzuca się bowiem łamanie praw autorskich — mając dostęp do kont, możnaby sprawdzić, czy rzeczywiście ktoś przechowuje na nich “nielegalne” pliki. Ale dowód, który został pozyskany poprzez popełnienie przestępstwa to chyba kiepski dowód i pewnie nawat ZAIKS się nie skusi na kupno ;)

Mam konto na Chomikuj.pl — co robić?

Jak najszybciej zmień swoje hasło, na możliwie najdłuższe i niesłownikowe, ale przede wszystkim na takie, z którego nie korzystasz w żadnym innym serwisie internetowym. W doborze dobrego hasła (oraz zapamiętaniu wielu unikalnych haseł do róznych serwisów) może pomóc program KeePass.

Zmień hasło, nawet jeśli Chomikuj nie prosi (nie prosił) cię o to w trakcie ostatniego logowania. Nie można wykluczyć, że używany przez Chomikuj.pl algorytm identyfikacji kont o słabym haśle wytypował wszystkie konta z hasłami znajdującymi się w słowniku włamywacza “A S”.

Zmień też hasła w każdym innym serwisie, w którym miałeś takie samo hasło jak do Chomikuj.pl — pamiętaj, że atakujący je zna.

Ochrona przed atakami brute-force

Jeśli prowadzisz serwis internetowy:

  1. Weryfikuj przy rejestracji użytkownika, czy nie wybiera słabego hasła. W sieci znajduje się wiele słowników popularnych haseł, zrób z nich blacklistę. Twitter tak robi od dawna.
  2. Zliczaj nieudane próby logowania dla danego konta, i wyświetlaj CAPTCHA po trzecim z rzędu, źle wpisanym haśle. Dlaczego zliczanie nieudanych prób jedynie w określonym czasie to nie do końca dobre rozwiązanie — patrz poniżej:
  3. Zliczaj nieudane próby logowania z jednego adresu IP. Atakujący zazwyczaj łamie haseł ten sposób: wiele prób z różnymi hasłami na ten sam login ale, próba z jednym hasłem na wielu loginach. Zanim przeiteruje się po bazie loginów, zazwyczaj licznik nieudanych prób logowania (patrz pkt. 2) zdąży się już “przekręcić” dla pierwszego konta i można rozpocząć procedurę od nowa, tym razem z nowym hasłem.
  4. Zastanów się, czy loginy użytkowników należy wyświetlać w obrębie serwisu (np. stosowany przez Chomikuj.pl widget “Last Seen” pozwala atakującym zbierać loginy serwisu).
  5. Przechowuj hasła użytkowników w serwisie zgodnie z dobrymi praktykami. Opisaliśmy je w tym tekście — wyjaśniając dlaczego “soli się” hasła użytkowników, i że są lepsze metody “kryptograficznej” ochrony haseł.
A jeśli chcesz się dowiedzieć czegoś więcej o zabezpieczaniu webaplikacji przed atakami, zapraszamy na nasze szkolenia w Warszawie i Krakowie.


Przeczytaj także:



55 komentarzy

Dodaj komentarz
  1. Dodalbym jeszcze zeby po nieudanym logowaniu nie wyswietlac komunikatu sugerujacego ze wpisalismy zle haslo(a login jest ok), tylko, ze haslo LUB login jest zly. Dzieki temu “wlamywacz” nie bedzie wiedzial czy dana osoba jest zarejestrowana w serwisie pod podanym emailem/loginem.

    • dokladnie tak jak mowisz. nie wiem czy jeszcze to dziala, ale przez odpowiednie interpretowanie opisow bledow mozna bylo zmapowac adresy email uzytkownikow z interia.pl (samo logowanie – ponadto not case sensitive!), onet.pl (zakladanie konta) , o2.pl (nie pamietam) wp.pl (mechnizm odzyskiwania hasla + stary jak swiat numer przez smtp + telnet).

      na nasza-klasa tez to dzialalo swego czasu, dopoki nie wprowadzili dodatkowego pytania o date urodzin.

      naprawde w bardoz prosty sposob idzie pozyskac adresy email userow wielu wielu portali.

    • Ale na Chomiku z tego co mi wiadomo login zawsze = nazwa chomika więc w/w komunikat o którym pisałeś nie ma sensu.

    • nie pisalem konkretnie o chomiku tylko w nawiazaniu do “Ochrona przed atakami brute-force”.

    • Ja daje coś takiego Po drugiej złej próbie daję sleep(1500);, a przy każdym kolejnym wartość w nawiasie ^2, ale faktycznie dodanie captchy po trzecim ma większy sens.

    • jak robisz sleepa to niepotrzebnie zawieszasz watek serwera http;

  2. jaki fail. aczkolwiek wiele jest stron na ktorych w bardzo prosty sposob mozna najpierw pozyskac liste loginow uzytkownikow (przewaznie dolaczone do strony forum oparte na phpBB), po czym przerpowadzic atak slownikowy (wygenerowac unikalny slownik dla kazdego pozyskanego loginu uzywajac go jako bazowa czesc hasla + rozne wariacje + dodac troche standardowych hasel). wiele serwisow oferujacych gry przegladarkowe ma tego typu dziury, a budowanie hasla na podstawie loginu to czesta praktyka siegajaca nawet 30% wszystkich userow.

  3. byłbym zainteresowany, tylko czy A S mógłby mi wystawić fakturę?

  4. Jak tak dalej pójdzie, to będę bał się zakładać konta na jakimkolwiek serwisie…

  5. “meila” hehe… 15tys przeznaczy na naukę pisania w języku polskim?

  6. Dziwne – zamiast BTC, to tuszować przelewy chce.

  7. cholerni moralniacy, zamiast udostępnić bazę wszystkim i narobić konkretnego smrodu to bawią się w podchody i wycenianie. Anony na karachanie jak coś mają to się dzielą a potem jest cyrk i beka jak chociażby włamanie na strone CKE czy urzędu w Łodzi.

    • Może jakiś biedny studencik chciał na wódkę zarobić?

    • chyba na wykopie

  8. “Weryfikuj przy rejestracji użytkownika, czy nie wybiera słabego hasła. W sieci znajduje się wiele słowników popularnych haseł, zrób z nich blacklistę. Twitter tak robi od dawna.”
    A chciałby ktoś zarzucić linkiem do jakiegoś ładnego słownika haseł? Najlepiej jakoś nakierowanych na polskie? Bo po wstępnym otarciu się o google jakieś wygaśnięte linki albo odesłanie do zwykłego polskiego słownika (w sensie słów) z kurnika.

    Byłbym wdzięczny

    • Zobacz wstawkę na PBMie w sieci Tor, bodajże hexa

  9. kto idzie o zakład, że te dwa miliony haseł i kont, to hasła tożsame z nazwą konta, lub “qwerty” lub “123456”? To taka tajemnica poliszynela między użytkownikami chomika. W ten sposób niby nic publiczne nie jest a w praktyce można stamtąd ściągnąć wszystko.

    • Pewnie to akcja samego chomikuja żeby ukrócić takie praktyki ;)

  10. ooo, nvm patrzę popularny jest :D

  11. “wiekszosc zlodziejow” – jestes pewien ze chciales napisac “zlodziejow” miast “zlodziei”?

  12. […] niebepziecznik.pl na wolności jest 2 miliony loginów i haseł do serwisu chomikuj.pl. Nie jest to kara za […]

  13. Apropo łamania haseł: podczas DEFCON20 miał miejsce konkurs “CrackMeIfYouCan”. Szczegóły tutaj: http://contest-2012.korelogic.com/ Łamane były hasła nawet 20 znakowe.

  14. Może ktoś kupi listę i wrzuci ją na chomika? ;)
    (Obvious joke is obvious.)

  15. >meilowo
    Widać że profesjonalista.

  16. Chomikuj podobno nie trzyma nigdzie adresów e-mail ( tylko hashe ), tak przynajmniej piszą w swoim serwisie. Więc nie jesteśmy w stanie wyciągnąć adresu e-mail z konta. Więc wystarczy, aby użytkownik miał inny login niż zazwyczaj używa i jest już kryty ;-)

  17. […] rano Niebezpiecznik doniósł o tym, że do redakcji zgłosił się człowiek, który oferował sprzedaż listy zawierającej 2 […]

  18. “Zliczaj nieudane próby logowania z jednego adresu IP” – odetnij od serwisu miejskie/osiedlowe lany, niech korzystają tylko klienci neostrady?

    • W tekscie stoi zliczaj a nie odcinaj po trech nieudanych probach ;) treshold trzeba umiejetnie dobrac – watpie zeby wartosc blednych logowan na serwisie dla natu powiedzmy upc byla na poziomie 1000/min…

  19. Ja mam na sprzedaż wszystkie nr PIN do kart płatniczych.
    Dla zainteresowanych poniżej mała próbka dowód że to nie ściema!

    0000
    0001
    0002
    0003
    0004
    0005
    0006
    0007

    Za dodatkową opłatą zdradzę algorytm generujący nr PIN!

    • Ile chcesz za całą bazę?

    • A czy mój PIN – 1456 – też posiadasz w swojej bazie?
      Było by bardzo nieciekawie, gdybyś opublikował bazę, to zagaża bezpieczeństwu światowemu…

    • Lyyyypa, PIN-y nie mogą się zaczynać o zera ;-)

  20. Najprostrzy anty brute-force:
    1. zliczanie to tabelki nieudanych (i w celu historii logowań także udanych) prób logowania, zawierające IP | UserId | Success (czy się udało, czy nie)
    2. zanim w ogóle dopuścimy do czytania danych z formularza – SELECT COUNT(*) FROM AuthLog WHERE IP=” (jeśli jesteśmy Applem, to także OR UserId=”) AND Time > NOW() – INTERVAL 5 MINUTES
    3. Jeśli wynik otrzymamy > 3 to albo blokujemy logowanie, albo captcha

    Dla bardziej ‘opornych’ można odcinać cały zakres

    • No shit, sherlock. Przeczytałeś to w tutku na PHP.pl?

  21. Ja mam hasło 8-znakowe zawerające dwie cyfry więc mnie mogą w d*** pocałować ;)

    • np: 1qazxsw2? :)

    • Tzn. że czemu mogą cię w tyłek pocałować, bo twoje hasło jest niby ‘ciężkie’ ?

  22. Próbowałem się właśnie zalogować, na moim Chomiku. Hasło było proste, 9 znakowe, z powtarzającymi się cyframi – nie mogę. Czyli już pierwsze hasła zmienili.

  23. E, jakąś cienką listę miał ten włamywacz. Ja miałem dość proste hasło (8-literowe, w słowniku sjp.pl jest) i mi go nie zrestetowali. Gwoli ścisłości nic nie trzymam na chomikuju, więc utrata konta nie była by żadną stratą.

    • To że nic nie masz na chomiku, to pół biedy, gorzej, jak ktoś z Twojego konta będzie ściągał/wrzucał treści za które możesz “beknąć”.

  24. Pudelek

  25. 2mln kont w wyniku ataku brute-force na webappa? Powaznie? Moja pierwsza reakcja bylo w ogole zdziwienie, ze na chomiku istnieje tyle kont. A juz na pewno nie uwierze, ze ktos te dane zdobyl w taki sposob :) Nie wspominajac juz nawet o koniecznosci wczesniejszego zdobycia tylu nazw uzytkownikow.

  26. Jeśli ktoś jest głupi albo imbecylny to używa takiego samego nicka do logowania w różnych serwisach, a jeśli ktoś jest jeszcze głupszy, to takiego samego hasła. Hasło generuje się losowo, dodatkiem do Firefoxa np. 32 znaki ze znakami specjalnymi, liczbami. Do każdego serwisu inne. Nigdy w miarę możliwości nie podaje się swoich prawdziwych danych. Wymyśla się imię, nazwisko, adres, jeśli jest się o to pytanym. Wyjątkiem są oczywiście banki i allegro, ale na tym koniec. Hasła trzyma się albo wydrukowane na kartce w mieszkaniu, albo jako pliki zaszyfrowane innym hasłem, w paru kopiach, które znajdują się w bezpiecznych miejscach. Amen, każdy kto tego nie robi po prostu się naraża.

    • Jakoś ciężko mi wyobrazić sobie, że masz wszędzie inne loginy do każdego portalu.
      A teraz wyobraź sobie jak ten twój niesprawdzony dodatek (chyba, że to jakaś zaufana firma) zbiera sobie w swojej bazie te twoje wszystkie ‘bepieczne’ hasła.
      Jedyna droga to zaufane programy opensource typu KeePass i używanie ich z głową.
      Sposób z zapisywaniem na karteczce też godny pożałowania :] rozumiem, że nosisz kopie takich karteczek wszędzie tam gdzie musisz skorzystać z danego portalu poza domem, a może nosisz laptopa z karteczką przyklejoną nań, jak to pewna ważna osobistość uczyniła?

      PS. Dla ludzi co od razu wyjeżdżają od głupków albo imbecyli nie mam szacunku.

  27. Nie rozumiem, ujawnia hasła użytkowników z powodu rozprawy , działa na niekorzyść serwisu Homikuj bo doszło do rozprawy między wydawcami a serwisem? Przecież to wydawcy rozpoczeli a nie ten serwis, po co się mścić na serwisie? Lepiej jakby ujawnił konta wydawców …

  28. Nie jestem specjalista z zakresu bezpieczeństwa, ale ciekawi mnie następująca rzecz- czemu serwer na którym przepuszcza się atak bruteforce nie banuje adresu i tym samu zapobiega dalszym działaniom? Jak to działa?

  29. @Axles: karteczka jest po to, by, gdy padną wszystkie możliwe kopie elektroniczne, nie stracić haseł. Nigdzie z nią nie jeżdżę.
    2. Dodatek do firefoxa generuje tylko losowe hasła. Potem ctrl+v do notatnika i ten dodatek nie ma pojęcia gdzie ja tych haseł używam.
    3. Tak, do każdego portalu mam inne hasło i login.
    Z tymi głupkami i imbecylami jest może racja, ale jak nazwiesz kogoś, kto ma wszędzie ten sam login i hasło?

    • 1. Raczej jest znikoma szansa by stracić wszystkie elektroniczne wersje haseł o ile prawidłowo się te kopie zrobiło, czyli np. zaszyfrowana kopia bazy na dysku, na płytce, i/lub w chmurze czy zewnętrznym dysku/pendrive.
      2. Nie rozumiem. Dodatek generuje losowe hasła i domyślam się, że je zapisuje sobie?
      Zapewne rozróżnienie po losowych znaczkach (znaczkach haseł) do którego serwisu jest dane hasło spoczywa na twoich barkach? Poza tym będąc pesymistą pomyślałbym o dodatku w ten sposób, że on generuje hasło ty używasz ctrl+c i to jest dla niego znak, że hasło zostało użyte, tym sposobem nieznany dodatek zbiera sobie bazę haseł użytych i gdzieś tam może zapisywać :] No ale to bardzo pesymistyczna wersja Z drugiej strony, dodatek każdy zwykły użytkownik może sobie napisać i zamieścić w ‘sklepie’ Firefoxa.
      3. No to podziwiam cię, ja bym tak nie umiał pamiętać kilkanaście/kilkadziesiąt różych loginów (no i haseł), chyba że to pseudo-różne loginy, a wyglądają one tak: login do niebezpiecznika: N_aaa, do chomika: C_aaa.

      Ja tam używam KeePassa i polecam każdemu bo to idealne rozwiązanie i wielce bezpieczne.
      Kilka kopii bazy KeePass (zabezpieczonej długo wymyślanym hasłem 111 bitowym) do tego baza ukryta w wolumenie TrueCrypt na hasło lecz już mniej wymyślne. A wolumen dostępny za pomocą chmury w każdym mi potrzebnym miejscu :]

  30. Chyba nigdy nie pojmę jak ludzie mogą nadal stosować takie proste hasła…

  31. Zlodziej zostal zlapany przez policje…Tzn mial chyba siedziec 48h i wkoncu nie wiem czy go wypuscili bo z nim nie utrzymuje kontaktu,bo to idiota,nie tylko chomikiem sie zajmowal.

  32. Wstyd się przyznać ale moja głupota w stosowaniu haseł do różnych portali w tym chomikuj.pl przedstawia tylko poziom wiedzy na temat bezpieczeństwa w sieci.

    Stary filmik z youtube który uświadomił mi moją ignorancję:)
    http://www.youtube.com/watch?v=zOHlzc3rKck

  33. […] W Polsce podobny eksperyment przeprowadzono nie na banku, a na …chomiku. Efekt? 2 miliony kont na sprzedaż. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: