21:31
3/4/2014

Na jednym z TOR-owych forów pojawiła się oferta sprzedaży bazy serwisu showup.tv, którego niektórym użytkownikom (a raczej użytkowniczkom) zazwyczaj mocno zależy na prywatności. Sprzedający twierdzi, że dump bazy pochodzi z 20 marca 2014 roku i zawiera ponad 1,1 miliona użytkowników.

wykradziona baza danych showup.tv na sprzedaż

wykradziona baza danych showup.tv na sprzedaż

Zamieszczony przez niego dowód — screen z dumpu bazy — ujawnia, że rzekomo posiada takie dane jak:

  • nick,
  • e-mail,
  • hash hasła,
  • adres IP.

…ale niewykluczone, że zawiera ona więcej danych.

Cena za bazę nie jest powalająca — jedyne 6 bitcoinów (czyli ok. 8500 PLN). Sprzedający złożył swoją ofertę po angielsku i korzysta z e-maila sugerującego przynależność do rosyjskiego “teamu”. Ale najprawdopodobniej jest to Polak — na wrzuconym przez niego screenshocie widać słowo “Notatnik” ;-) Dodatkowo, jest małoprawdopodobne, aby polskie forum odkryły osoby z zagranicy, a zwłaszcza takie, które atakują typowo polskie serwisy.

Pikanterii dodaje fakt, że Showup zaprzecza, jakoby baza wyciekła a publikowany przez sprzedającego screenhot był prawdziwy:

Sprawdziliśmy scren z dumpu i tylko 2 rzeczy w rekordzie się zgadzają przy czym takie informacje można uzyskać nie włamując się do bazy. Nie zgadzają się widoczne na screenie z notatnika adresy IP, hashe haseł oraz sole.
Dodatkowo nie posiadamy 1,1 mln userów (rynek myśli że posiadamy więc dlatego akurat taką ilość podał oszust)
Na przykładowym screenie widać tylko użytkowników których bez trudu można połaczć z ich numerem w tabeli, nie ma użytkowników którzy nie robią transmisji (bo nie można zdobyć ich numeru ID w bazie i dla przykładu i potrzeb oszustwa powiazać ich z loginem).

Wycieki z innych serwisów sexkamerkowych

Co ciekawe, już pod koniec stycznia dotarła do nas informacja, jakoby jeden z internautów chciał sprzedać (za równie niskie ceny) bazy e-mailowe użytkowników polskich serwisów erotycznych (showup.tv, zbiornik.pl, sexfotka.pl, garsoniera.com.pl) …oraz money.pl. Warto jednak zauważyć, że z showupa sprzedawanych jest tylko 440 000 e-maili.

Oferta sprzedaży baz e-mail serwisów erotycznych z Polski

Oferta sprzedaży baz e-mail serwisów erotycznych z Polski

Nie wiadomo jak zebrano te e-maile (zwłaszcza, że jest ich o połowę mniej niż rekordów z najświeższego ogłoszenia), ale pewną wskazówką może być informacja, jaką otrzymaliśmy od jednego z czytelników (dane do wiadomości redakcji), który twierdzi, że na Showup.tv włamano się już przeszło rok temu:

Włamanie na showup w ZESZLYM ROKU było powiązane z włamaniami na inne strony takie jak sexfotka.pl, randki.sex-zone.pl, kibicowskie fora dyskusyjne i inne strony. w jednej chwili masowo ruch z showup i innych stron na które były włamania został przekierowany na youshow.pl

Niestety po tej wiadomości, kontaktująca się z nami osoba zamilkła. Może ktoś z czytelników zna szczegóły? Co to znaczy “został przekierowany”? Na jak długo?

Aktualizacja — po publikacji tego artykułu, tajemniczy informator znów przemówił ;) Oto wyniki jego śledztwa:

Wlamanie na showup mialo miejsce w 2012 roku, przeszukujac google mozna natknac sie na:

http://forum.kibice.net.pl/viewtopic.php?f=3&t=338&start=39840&sid=51487c8a26dc2b08b85585f4fc51cfaf&view=print

Wpis: 28.10.2012, 20:12 autor: S19K47S
“Macie też tak, że przy wchodzeniu na kibice.net/forum przekierowuje was na jakiś youshow?”

oraz

http://forum.invisionize.pl/topic/39712-ataki-przekierowania-na-inne-strony/
gdzie @semenedar pisze:
“(…)Jeszcze coś. Ja też miałem wpisy z przekierowaniami w różnych aplikacjach gdy byłem atakowany przez youshow, zresztą nie ja jeden wtedy bo też sexfotka.pl i kilka innych serwisów w tym czasie.(…)”

Dodatkowo, nasz informator neguje oświadczenie Showupu, pokazując technikę, przy pomocy której można zdobyć ID użytkownika:

wchodzac na pierwsza lepsza transmisje… patrze kto pisze na czacie i wybieram nicki.

nick, ID
rakadrian3 , 225251
kokosowyxxl , 1101836
marcinwr33 , 155777

a takie ID 1200414 ma konto zalozone dzisiaj o godzine 11:03 :))

Walki pomiędzy polskimi serwisami sexkamerkowymi

Przeszukanie naszej redakcyjnej skrzynki pod kątem zgłoszeń dot. ww. serwisów ujawnia dodatkowe szczegóły (które w momencie ich zgłaszania nie wydawały się na informacją na tyle ciekawą, aby budować z tego artykuł). Przytoczmy wiadomość kolejnego z czytelników:

W niedzielę 18 listopada 2013. serwis [showup.tv] został zaatakowany przez nieznaną dotąd grupę hackerów, co doprowadziło do wyłączenia serwisu. Chciałbym podkreślić, iż baza danych zawierająca maile, imiona, nazwiska i numery kont bankowych została skopiowana i jest publicznie dostępna. Baza zawiera kilkadziesiąt tysięcy rekordów. Różne są spekulacje na temat osób odpowiedzialnych za ataki. Część przypisuje je nieuczciwym konkurentom, część bojownikom z pedofilią w internecie. Niemniej jednak warto nadmienić przyszłym użytkownikom takich serwisów jakie konsekwencje niesie za sobą rejestracja na takim portalu.

Na blogach sexkamerki i polishsexcams sa komentarze uzytkownikow serwisu Showup.tv. Niemal kazdy skarzy sie na mase spamu ktory otrzymuja na skrzynki ktore sluzyly tylko i wylacznie do logowania do Showup. Spam dotyczy reklam innego konkurencyjnego serwisu jakim jest Youshow.pl. Baza danych myshow.pl rowniez zostala przejeta, z ta jednak roznica, ze dane o haslach nie byly szyfrowane. Osoba ktora byla w posiadaniu tej bazy logowala sie na inne portale wykorzystujac fakt ze wielu uzytkownikow ma takie same hasla do logowania.

Wygląda na to, że serwisy z sekskamerkami to dobry, ale ryzykowny biznes z “morderczą” konkurencją.

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. Ta informacja w ramce (stare info od użytkowników wyjęte dopiero teraz) przypomina trochę Pearl Harbor. “spokojnie, nic się nie dzieje, to nasi/to ćwiczenia”

  2. Atakujacy posiada nr kont? A co komu z tego ze bedzie miał moj nr konta bankowego?

    • Ty nie wiesz w jakim kraju żyjesz?

      http://gielda.onet.pl/wrobieni-w-kredyt,18490,5612344,news-detal

      Oszustowi wystarcza nr konta bankowego żeby wrobić cie w kredyt. Takich spraw w sądach są tysiące. A ty stracisz dom, zanim dojdziesz sprawiedliwości, bo komornika nie obchodzi czy ty płacisz słusznie czy nie – ma wyrok do wykonania, i go wykonuje.

    • Żeby ktoś mógł przelać Ci kasę na konto

    • > Oszustowi wystarcza nr konta bankowego żeby wrobić cie w kredyt.

      To ciekawe czemu jeszcze nie ma masy kredytów na wszystkich sprzedawców z allegro i małe sklepy internetowe którzy i które podają numer konta, imię, nazwisko i adres…

      Chcesz linki do przykładów czy umiesz używać google?

    • @ anonim 2014.04.03 22:59

      a link w serwisie z 1.04 …

    • @anonim: Tak, a artykuł z 1 kwietnia… ;)

  3. Ok wszystko dobrze tylko niech atakujący ma juz mój nr konta bankowego to niby jak wyciągnie z niego wszystkie informacje z dowodu? Chyba tylko wlamaniem sie na konto a z tym moze mieć problem.

    Niebezpieczniku po zmianie hasła na portalu grozi nam coś jeszcze?jeżeli faktycznie wyciekły te dane.

  4. niektórych adresów nie znałem, dzięki!

  5. Kilka nowych serwisów do sprawdzenia. Zapowiada się długa nocka ;-)

  6. Taki zrzut ekranu ma być dowodem? Żałosne… ewidentny fake. Kolejny dzieciak myśli, że ktoś mu wpłaci BTC.

  7. “… Co to znaczy “został przekierowany”? Na jak długo? …”
    Przekierowany ruch to może być ewentualnie z kamerek. Wykorzystanie infrastruktury Showup do wzbogacenia się poprzez jedynie osadzenie na www-targecie czyli np. ww. youshow playera, który odtwarza stream z innych site’ów i dodanie systemu płatności. Na TR naprodukowałem się o tym w jaki sposob SU streamuje transmisje. Jedyna inwestycja www-targetu to VPS/etc + duże i wydajne łącze.
    Od strony software’owej: serwer www+cURL+..(ci co mają wiedziec to się domyślą a reszta nie dostanie rozwiązania podanego na tacy) z odpowiednim configiem. Prościej już się nie da.
    Posiadając dostęp do serwerów można tuszować aktywność związaną z przekierowaniem ruchu tudzież sprawdzać na ile kumaci są admini i czy w ogóle są w stanie odróżnić oglądanie transmisji przez przeciętnego fapatora przez ich www od tego, które jest realizowane poprzez osadzony player na www-targecie i wszystko zgodnie z ww. metodą a wątpię, ponieważ takie rzeczy da się tuszować ustawiając parametry odtwarzania streamu w playerze i nietylko (oparte o wcześniejszą analizę pakietów zdobytych poprzez analizę komunikacji klienta z serwerem streamowym) na www-targecie a często serwer streamowy idzie sam na rękę i daje maksymalny parametr w efekcie czego takiej konfiguracji admini sami sobie blokują możliwość wykrycia anomaliów, które
    sugerują nieautoryzowane wykorzystanie ich infrastruktury.
    Oprócz tuszowania i analizowania zachowania adminów można faktycznie przekierowywać ruch jeżeli stream w jakiś sposób jest zabezpieczony a nie ogólnodostępny jak w przypadku SU(odsyłam do wątku na TR) co pozwala na dziecinnie proste otworzenie sobie biznesu bez inwestycji w dużą infrastrukturę, serwery mediów itd. a jedynie jw. włączenie do pracy szarych komórek oraz VPS’a/etc. z dużym łączem. ;)

  8. Maile to luzik. Dobrze, że fotki nie wyciekły :)

  9. A mnie w screenie urzekła jedna info, której póki co nikt nie zdementował, nie zaprzeczył że można: ZAPIS PRYWATNYCH CZATÓW.
    Znaczy że co? Istnieje zapis? Prywatne rozmówki na tych serwisach są zapisywane/dostępne do (legalnego i nie) przeglądu? Oj, taki zapis priva w powiązaniu do użyszkodnika, i jeszcze jeśli się go uda zidentyfikować, to może być o wiele więcej wart niż te marne 6 BTC :)

    • dokładnie – prędzej 6BTC od łebka :)

  10. Napisane jest w regulaminie że nie nagrywają. Do tego nie wierzę w tą kradzież bazy – nic nie podali co można by zweryfikować więc ja też mogę sobie tak napisać.
    Chodzi zapewne żeby takie showup zapłaciło w celu sprawdzenia tej bazy – tak mi się wydaje.

  11. ale nicki ze screenu są prawdziwe :D

  12. Trzeci rekord jest uszkodzony, brakuje <>:
    <>
    Taki hakier i ręcznie przeprawiał adresy (o ile nie tworzył od zera rekordów)?
    Pierwszy też uszkodzony: Po nicku jest średnik zamiast przecinka.
    To sugeruje, że jednak hakier robił prima aprilis i to niechlujnie.

  13. Trzeci rekord jest uszkodzony, brakuje ‘,”email”‘:
    ‘(…)”sex”:”female”:”xxxxx@xx.xx”,(…)’
    Taki hakier i ręcznie przeprawiał adresy (o ile nie tworzył od zera rekordów)?
    Pierwszy też uszkodzony: Po nicku jest średnik zamiast przecinka.
    To sugeruje, że jednak hakier robił prima aprilis i to niechlujnie.

    • Biorąc pod uwage, że wszystkie widoczne maile są zamienione na xxxxx@xx.xx – widać, że patrzymy na spreparowany tekst w notatniku, nie kopię danych z bazy. Jeśli zmieniał maile ręcznie (a to możliwe, przecież to tylko kilka rekordów) -> mógł usunąć przypadkowo “email”. Lepsze pytanie czemu jest dwukropek zamiast średnika -> w tym miejscu nie miał czego zmieniać.

      Data rzeczywiście sugeruje żart, ale hmm… info o pozostałych atakach i wyciekach sugeruje że nie wszystko w tym zestawie to zmyślenia.

  14. Również uważam, że to jakiś naiwny amator, który myśli, że znajdzie kogoś bardziej naiwnego :)
    Może nawet ten co tak zachęcająco pisze, że nicki ze screanów są prawdziwe ;)

  15. Widze, ze zapominacie o jednej waznej rzeczy – dosyc cennej – zetonach zgromadzonych na kontach uzytkownikow, ktore to mozna sobia przelac na jedno konto, a nastepnie wyplacic ;]

  16. Na szczęście,nie mam tam już swojego konta

  17. 6 BTC = 8 500 zł ? chyba ktoś walnął byka w artykule ;)

  18. Bardzo dobrze zrobili, tępić zboków na potęgę! Powinni opublikować na jakimś nowo założonym blogu i puścić na stronę do telewizji

  19. arbuzeria sie bawi z #mamo ;]

  20. trzeci wpis w bazie na screenie nie posiada słowa “email” fake jak nic.

Odpowiadasz na komentarz moka

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: