13:28
23/4/2017

Od piątku, na Wykopie trwa “aferabotowa”. Użytkownicy serwisu zauważyli, że niektóre ze znalezisk, w ciągu kilku minut są wykopywane przez setki kont. Część z wykopujących twierdzi, że oni sami, świadomie, nie wykopali danego znaleziska. Ktoś musiał więc zrobić to za nich. Ale jak?

O możliwych hipotezach pisaliśmy w sobotę rano na naszym wykopowym mikroblogu. Przywołajmy ten, lekko poprawiony wpis:

1. Pozyskanie loginów i haseł części kont
A. Przez kradzież (były pracownik, backupy, etc.) — byłaby duża skala
B. Przez włamanie (SQLi i łamanie haszy) — wtedy “botami” tylko Mirki o słabych hasłach, przynajmniej na początku.
C. Przez korelacje haseł pochodzących z wycieku/kradzieży z innego serwisu, np. PSN, AshleyMadison ( ͡° ͜ʖ ͡°), etc — wtedy ofiarami Mirki które mia…y hasło takie samo jak w innym serwisie (nieunikatowe)
D. Przez phishing lub zewnętrzną aplikację — wtedy Mirki musiały by się dać nabrać na lewą stronę logowania lub lewą apkę mobilną (fałszywe lub zbackdoorowane rozszerzenie do przeglądarki mające dostęp do domeny wykop.pl albo inny dodatek dotyczący Wykopu wymagający podania hasła). Ale przecież Mirki ain’t no idiots! ;)

2. Wykonanie ataku MITM:
A. Przez sniffing tokenów sesyjnych — wtedy Mirkami ofiarami/botami powinni byłyby osoby korzystające z tego samego ISP, sieci, np. z lubelskiego akademika
B. Przez rewrite żądania http — wtedy Mirki które były ofiarami chciały kopnąć X a kopnęły Y (coś musiały robić w okresie “ataku”, bezczynny Mirek nie zostałby ubotowiony)

3. Atak CSRF i/lub XSS
A. Przez źle zaimplementowane tokeny antycsrf — Mirki musiały odwiedzić w okresie ataku inną stronę, która zawierała złośliwy kod ataku (np. demotywatory albo pornhub)
B. Przez XSS na Wykopie — gdzieś na Mirko albo wykopalisku/głównej jest możliwość wstrzyknięcia JS które sterowało atakiem i uruchamiało się u Mirków które na ten wykopowy obszar wlazły (kiedyś xss był w tagach do znalezisk).

4. Inny błąd w API/serwisie
A. Przez podatność pozwalająca na eskalację poziomą (X ma dostęp do akcji które wykonać powinien móc tylko Y, np. Indirect Object Reference, takie błędy też już były na Wykopie)
B. Przez podmianę w żądaniu API id Mirka odpowiedzialnego za wykonanie danej akcji

4,76 Korwin

5. Spisek! Nawet bordo to boty – ktos je wszystkie przez lata hodował przez lata czekając na tegoroczną edycję Lubelskich Dni Informatyki :)

6(66). Szatan

To, która z hipotez jest prawdziwa mogą ustalić tylko pracownicy Wykopu i sami poszkodowani (ustosunkowywując się do podanych przez nas powyżej hipotez). Jedna z moderatorek twierdzi, że błąd na pewno nie leży po stronie API (a więc 4B odpada).

Coś jednak musi łączyć wszystkie ofiary. O ile wierzyć komentarzom poszkodowanych (“ubotowionych”) użytkowników Wykopu, to nie wszyscy mieli łatwe hasła i nie wszyscy korzystali z zewnętrznych aplikacji (jak np. Mirkoczat).

Pamiętajmy tylko, że 20 znakowe hasło to nie zawsze silne hasło. Zwłaszcza jeśli brzmi ono bolubiebycjanuszkiem i dotyczy konta bolubiebycjanuszkiem

Sprawa dziwnych adresów IP w “historii logowania na konto”

Niektóre z ofiar informują, że “w historii logowania” mają dziwne adresy IP. Wykop faktycznie pozwala podejrzeć listę adresów IP z jakich ustanowiono wciąż aktywne sesje. Kluczowe jednak jest to, że ta opcja pokazuje wciąż aktywne sesje (a nie, jak niektórzy uważają, pełną historię logowań) i z tego też powodu pozwala na usunięcie sesji (niestety to oznacza usunięcie także “śladu” z adresem IP):

To tłumaczyłoby, dlaczego niektórzy z poszkodowanych nie widzą w tym module żadnych podejrzanych adresów IP. Ten moduł mógłby zresztą sprawować się lepiej (np. tak jak w GMailu listować X ostatnich adresów IP z których się logowało i dawać możliwość unieważnienia sesji). Nie jest też wykluczone, że funkcja pokazująca aktualnie zalogowane sesje posiada błędy (a może pewnych sytuacji nie uwzględniać, np. odkładać IP tylko w trakcie logowania hasłem przez www).

Ktoś opublikował listę haseł do kont części Wykopowiczów

W tym, już usuniętym, wykopalisku ktoś wrzucił listę kilkudziesięciu kont razem z hasłami. Konta są zarówno 11-letnie jak i roczne. A hasła bardzo proste:

Jak ktoś je ustalił? Załóżmy, że ujawnione hasła nie były przez użytkowników Wykopu wykorzystywane w innym serwisie (czyli nie pochodzą z korelacji z innym wyciekiem, por. 1C). Wtedy ktoś albo dysponuje starą lub aktualną bazą hashy haseł użytkowników Wykopu (którą pozyskał na skutek np. ataku SQL injection na Wykop albo kradzieży z komputera któregoś z pracowników Wykopu) i część z hashy o prostszych hasłach udało mu się złamać, albo ktoś przeprowadzał ataki brute-force na wybrane konta — co wydaje się być mniej prawdopodobne, bo taki atak administracja Wykopu raczej łatwo zauważyłaby w logach (o ile je czyta), a poza tym, rozrzut haseł i niektóre z nich (np. “kaliber44”) wydają się mało sensowne pod kątem ataku zgadywania haseł online. Chociaż jeden z wykopowiczów, twierdzi, że bez przeszkód sprawdzał 80 000 haseł na minutę:

Mam konto na wypoku — co robić, jak żyć?

Ty jest list zhackowanych kont. Nie wiadomo czy pełna. Więc nawet jak cię na niej nie ma, to na wszelki wypadek zmień hasło. Albo #usunkonto ;)

Zaapeluj też do moderacji o wprowadzenie HTTPS na całości sesji (bo obecnie każdy może bardzo łatwo przejąć Twoje konto, jeśli korzysta z tej samej sieci co ty — aż dziwne, że w akademikach nie ma jeszcze masowych hacków wykopowych kont).

Gdyby osoba odpowiedzialna za “zarządzanie” cudzymi kontami na Wykopie chciała się podzielić jak faktycznie to robi — niech da znać na wykop@niebezpiecznik.pl :)

Aktualizacja 15:32
Michal Bialek, członek zarządu Wykop sp. z o.o., przekazał nam następujące oświadczenie:

“Dementujemy informacje o wlamaniu do bazy danych. Opisywany temat zwiazany jest z brakiem swiadomosci uzytkownikow, ktorzy uzywali bardzo prostych hasel”

Na chwilę obecną wszystko więc wskazuje na hipotezy 1C, 1D albo faktycznie atak zgadywania haseł (bruteforce online), jak sugerował wykopowicz, który ujawnił listę 450 haseł do kont.

Przeczytaj także:

72 komentarzy

Dodaj komentarz
  1. “kaliber44” to nazwa zespołu… czyli poste hasło słownikowe.

    • I dlatego do offline byśmy go zakwalifikowali (“kandydat potencjalny” — pun intended), ale do online, gdzie celem jest w jak najmniejszej licznie żądań utrafić jak najwięcej kont, to jednak ograniczylibyśmy się do kilku-kilkunastu najbardziej podstawowych haseł albo metod (pass=login, pass=rev(login)), aby ograniczyć liczbę alertów w logach.
      Ano ale … to niuanse, sensacyjne seanse, w bezsensie sens jest jedynym awansem ;)

    • @niebezpiecznik: nie ten zespół :D

    • Ale blisko. On był w K44 ;)

  2. w tym wpisie, ktoś opisuje mniej więcej jak tego dokonał
    http://www.wykop.pl/wpis/23639599/aftera-https-pastebin-com-raw-6u967m4a-450-hasel-u/

    • co prawda link nie działa, ale z linku można wyciągnąć link który działa, więc może by ocenzurować ;)

  3. Prawda jest taka ze gość ma gówno a nie 80k haseł na minutę i mocno popłynął w swojej bajce xD jakby ktoś z moderacji był ogarnięty to już dawno by się domyslil że te konta powiązane są ze sobą pewną inicjatywą wykopowa i tam też korzystając z haseł używanych także na wykopie sami się prosili o kradzież.

    • Myślisz, że wiesz bo gdzieś na wykopie to wyczytałeś, ale mylisz się. Sprawa dotyczy również kont nieaktywnych od lat na wykopie, a na strimi w ogóle ich nie znajdziesz.

    • Akurat bardzo możliwe, że to był atak słownikowy + prosty brute-force, chociaż może 80k/min. zapytań to przesada. Przez kilka dni przed zdarzeniem cały serwis wydawał się mocno obciążony, a powiadomienia o treściach dla użytkowników pojawiały się z kilkugodzinnym opóźnieniem.

    • No z tymi tysiącami proxy to nieźle pojechał, ciekawe czy fapie do streamów z kamer w serwerowniach ( ͡° ͜ʖ ͡°)

  4. Ale przecież w screenie na górze jest link z hasłami… mała wpadka :)

  5. >W tym, już usuniętym, wykopalisku
    znalezisku!!!

  6. Troszeczke strzeliliście boba, bo na podstawie listy z częściowo zakrytymi loginami i odkrytymi hasłami, da się sprawdzić i zalogować na konta według podanej przez Was listy kont które zostały złamane. Fakt iż większość kont jest już zablokowana, jednak dokładniej wymażcie loginy.

    • A po co? Słabe hasła (i tych co je ustawili) trzeba piętnować ;)
      Poza tym administracja już ich ukarała blokując konta (!)

  7. “Zaapeluj też do moderacji o wprowadzenie HTTPS na całości sesji (bo obecnie każdy może bardzo łatwo przejąć Twoje konto, jeśli korzysta z tej samej sieci co ty — aż dziwne, że w akademikach nie ma jeszcze masowych hacków wykopowych kont).” – admin na pewno ma taką możliwość, ale zwykły użytkownik? Chyba, że jest sieć WiFi bez szyfrowania, ale jak to możliwe w przypadku przewodowej?

    • Jak wysyłasz do serwera wypok.pl/logowanie dane POST, bez https to można te dane podejrzeć np na routerach.

    • W przypadku kablowego LAN-u jeszcze łatwiej snifować siec.

    • Z tym, ze pol wykopu to iframes, wiec https ciezko zaimplementowac.

    • Zaimplementować łatwo, tylko trzeba podziurawić potem :/

  8. Brute-force odpada. Moje konto nie zostało przejęte. Hasło mam krótkie i słownikowe. Hasło nie było zmieniane od początku, czyli od co najmniej 6 lat.

  9. admini wykopu nigdy się nie przyznają do niczego, @a_s walnie swoje lewackie mądrości (czyli jak zwykle wina userów) i tyle po aferze będzie, jak zwykle. Apeluje się o zmianę haseł i to na takie gdzie nie używamy ich nigdzie indziej ponieważ możliwy wyciek w przyszłości. Jeszcze jedna sprawa, pobanowali konta, ludzie poszkodowani a oni ich pobanowali xdddd Nie zdziwił bym się gdyby nie wymyśliła tego elfik – Rak tego serwisu

    • Nic dodać, nic ująć. Michał Białek po raz kolejny udowadnia brak kompetencji do zarządzania portalem Wykop.pl. Wina oczywiście zrzucona na userów, “bo słabe hasła”. W czasach gdy nawet strona mojego osiedlowego warzywniaka używa HTTPS, Wykop nadal żyje swoim życiem udostępniając tylko HTTP a w dodatku posiada zero zabezpieczeń przed atakami bruteforce online.

      m__b skończy jak Ellen Pao z Reddit.com. To kwestia czasu.

      Szkoda tylko właściciela portalu, zapewnie nieświadomego amatorszczyzny i bezczelności administracji. Bezczelności, bo elementarne zasady prowadzenia biznesu mówią, że najpierw wyjaśniamy sprawę WŁASNYM UŻYTKOWNIKOM, a później zewnętrznym mediom. Damage control nie istnieje w Poznaniu.

    • Wojtek Łoza: To może akcja z wysyłaniem wiadomości do właścicieli / akcjonariuszy z tym co się wyprawia na Wykopie?

    • @gad strasznie mnie zaciekawiła Twoja wypowiedź. Zechcesz wytłumaczyć czymże są te “lewackie” poglądy dotyczące bezpieczeństwa IT?
      I co w ogóle polityka ma w tym konkretnym przypadku do bezpieczeństwa IT?
      Chętnie zapoznam się z jakimiś dokumentami technicznymi i politycznymi aby bliżej zgłębić problem. Pierwszy raz spotykam się lewackim bezpieczeństwem IT.

    • mam na imię Arek a nazwisko mam na B.

    • Chodziło o zwalanie winy za wszystko na użytkowników, i chamską moderację.
      Co tu specjalnego tłumaczyć?

  10. “Konta są zarówno 11-letnie jak i roczne.” konta są jak wino – im starsze, tym lepsze? :D

    • w niektórych społecznościach bycie “starociotą” jest jedynym powodem do dumy

  11. A propos siły haseł: wiadomo, że lepiej mieć mocne niż słabe, ale nie podobają mi się zmiany w blokadzie ekranu Androida. Kiedyś użytkownik mógł ustawić knock-code z trzema puknięciami, obecnie musi być sześć. Powoduje to dwa problemy: możliwe, że część użytkowników całkiem zrezygnowała z blokady, poza tym zmniejszyła się liczba możliwych kombinacji, przez co złodziejowi łatwiej odblokować urządzenie.

  12. LMAO, sprawdziłem tego url’a z pastebina bo myślałem że może gdzieś moje hasło wyciekło a tu taka akcja śmieszna :) Zapewniam że nigdy nie używałem hasła “SHITHEAD” :) hasło słownikowe, proste do złamania itd. pfff
    A ja tutaj się zaczynałe martwić ;)

  13. 8. Ktos zdumpowal baze dzieki temu feature
    https://www.youtube.com/watch?v=6Z7KTuLUvZI

  14. Ja dostalem wlasnie bana pomimo tego ze moje haslo nie wycieklo i jest praktycznie nie do zlamania, kombinacja wszystkich mozliwych znakow i losowe litery :/

    • Bo bana dostawali też ci co krytykowali adminów, albo sie z nich nasmiewali. Generalnie na wykopie jest jak w jakiejś dzikiej puszczy. Nie ma ssl, tagi nie działają, wyszukiwarka nie działa, żadnych zabezpieczen przed wielokrotnym logowaniem -> i na koniec, jak cos sie spierniczy to admini zrzucaja wine na uzykownikow… DNO DNA.

    • u mnie podobnie .. jakoś się tym specjalnie nie przejmuje bo wykop nie jest niczym rewelacyjnym, bardziej o zasadę chodzi..
      btw. nikogo nie obrażałem a administracji to już w żadnym wypadku, a ba i tak ;)

  15. Dziwne, mojego konta nie było na liście, a mimo wszystko bana dostałem…

    Polecam wykasować tam konto. Szkoda udzielać się na czymś co nawet https nie ma.

  16. Odpowiedź Białka jest bulwersująca. Słabe hasła to jedno. Ale że taki serwis nie ma żadnego fail2ban to jakaś kpina jest. Żadne hasło nie będzie wystarczająco mocne jak boty mogą próbować do woli.

    • tam nie ma SSL, wiec kazdy uzytkownik serwisu jest zagrozony juz na starcie! bialek pierniczy ze ludzie mieli slabe hasla – mieli, bo po co sie trudzic i wymyslac trudne jak kazdy moze je podsluchac? zreszta polecam wszystkim ustawic tam haslo inne niz w pozostalych serwisach, bo tam nie ma zadnych zabezpieczen. jak w lesniej lepiance.

      winni sa tylko i wylacznie tworcy serwisu i ich nieudolnosc. teraz SSL można miec za FREE, a oni dalej tkwią mentalnie w latach 90…

  17. Moje hasło do konta na wykopie było naprawdę proste, więc prawdopodobnie poszedł w ruch zwykły bruteforce. Niemniej hasło zmieniłem w piątek, praktycznie natychmiast po tym jak wypłynęła cała sprawa, wylogowałem gdzie się dało tak, że nie została ani jedna sesja i aplikacja używająca API. Dwa dni później ban.

  18. Moje hasło jest na tej liście. Akurat używam go (hasła) od pewnie 10 lat do mało ważnych stronek, więc może to być z dumpa bazy jakiegoś gówno-forum sprzed 5 lat równie dobrze.

    • a inni uzytkownicy tez mieli konta na tych forach? mocno watpliwe.

  19. Wykop z dniem dzisiejszym właśnie się kończy. Zbanowali mi konto nie wiem za co tak jak zresztą połowie użytkowników.

  20. Wystarczy, że użytkownicy powiązali swoje konta z mirkolistami (lub innymi tego typu dodatkami) a z tego co wiem to miesiąc temu autor tego skryptu zamknął projekt.

  21. To wiadomo juz, czemu czasami strona niektorym zamulała.

  22. “Mam konto na wypoku — co robić, jak żyć?”

    Nie przyznawać się do tego, bo wstyd.

  23. Wina użytkowników bo mieli słabe hasła

    w ogóle nie wina wykopu, który nie ma absolutnie ŻADNYCH zabezpieczeń przed brutem. Ani captchy, ani czasowych banów na IP za nieudane próby logowania, nic.

  24. “Michal Bialek, członek zarządu Wykop sp. z o.o., przekazał nam następujące oświadczenie”

    Tak nawiasem mówiąc, drugi członek zarządu nigdy nie wyda żadnego oświadczenia bo jest bezdomnym żulem-słupem :)

  25. Wykop PL to ten cały serwis w którym wrzucano obrazki obrażające papieża ? XD

    Dobra,to był złośliwy żart,ale poziom wykopu nie jest najwyższych lotów od lat.

    A teraz meritum:
    Administracja serwisu Wykop.pl piszac,że “to wina użytkowników bo dawali słabe hasła” sama się ośmiesza – przy tak dużym serwisie nie weryfikować,czy nie wrzucane są hasła słownikowe ani manualnym pentestem ani automatycznie to zaniedbanie podstawowych zabezpieczeń. Może nie jestem developerem zarabiającym 15k a zwykłym bawiącym się w programowanie od czasu do czasu inżynierkiem,ale k… wiem że dołożenie takiej weryfikacji haseł przy tworzeniu konta,czy zmiana tych haseł raz na jakiś czas (ba choćby tylko po wrzuceniu tego mechanizmu) to rzecz, przy której dorzucenie httpsu (którego też tam nie ma) to wycieczka na Marsa. Zwykłe porównanie ze stringami z pliku tekstowego i loginem oraz weryfikacja długości,ewentualnie obecności liczby czy znaku specjalnego.
    To,że sam nie napisałbym tych zabezpieczeń (a przynajmniej nie podejmował bym się tego,bo próba z podręcznika nie musiała by zadziałać jak trzeba i wtedy by był wstyd) świadczy raczej o mojej wyjątkowo słabej na dziś znajomości PHPu i webdeveloperki – a nie o tym,że nie da się tego zrobić.Całe szczęście,że od dawna nie mam w tym serwisie konta.

    PS: Czy hasła na wykop.pl są chociaż hashowane i posolone ? ;)

    • PS: Oczywiście blokowanie konta na dzień po n próbach zalogowania,albo konta – honeypoty też by można zrobić i też by to było stosunkowo proste. Pierwszy przypadek – nieudane logowanie = najprościej: wpis do pliku z datą + zliczenie powtórzeń w danej dacie. A honeypot – w razie zalogowania na konto włącz syrenę przeciwpożarową (XD XD XD ) u admina,czy tam coś.

    • Wtedy każdy mógłby każdemu zablokować konto :) Takie rozwiązanie jest głupie

  26. moje konto zbanowane, dziękuje Pani elfik i Pan Białek w sumie nie potrzebuje tam konta ;]

    • elfik to jest ta co jej zdjęcia w łanach zboża wyciekły ? dobrze pamietam.
      W sensie że świeciła cyckami publicznie [cool]

  27. Wybaczcie głupie pytanie, ale “Mirki” to użytkownicy serwisu Wykop.pl?

    • Odcinek 37 na player.pl https://i.imgur.com/CT6x1Mi.jpg

    • ““Mirki” to użytkownicy serwisu Wykop.pl?” – Tak, a nazwa jest od zniekształcenia nazwy elementu serwisu o nazwie mikroblog. Użytkowniczki to Mirabelki. A ogólne określenie mężczyzna/kobieta to niebieski/różowy pasek – to z kolei pochodzi z tego jak pod awatarami jest wyświetlana zadeklarowana w profilu płeć. Skoro znasz już slang możesz założyć konto.

    • Tak. To taka gra słów.
      Na wykopie jest Mikroblog który od dłuższego czasu nazywany jest “Mirko” a użytkownicy Mirkami.
      Podobnie przekręcona jest nazwa wykopu. Często można spotkać Wypok. Tylko nikt jeszcze użytkowników nie nazwał wypoczkami ;)

  28. pkt. 7 Wina Tuska

    To najbardziej prawdopodobna przyczyna wycieku.

  29. Jeden cytat:

    “Jasne. System logowania na wykopie ma zerowe security”.

  30. Żartujecie sobie, czy może ktoś z nas jest debilem? Podajecie obrazek z końcówkami loginów i całymi hasłami, następnie udostępniacie listę osób zhakowanych? Nie jestem informatykiem czytam to tylko hobbystycznie, co jeszcze bardziej mnie uderza…

  31. Warto dodać jakie kroki podjął wykop by nie było więcej takich ataków.
    Nijak, teraz wystarczy zalogować się na wybrane konto z listy i napisać do administracji o UB
    http://www.wykop.pl/link/3714433/komedia-pomylek-w-wykonaniu-wypoku-peel-przy-weryfikacji-konta-aferabotowa/
    Żadnej weryfikacji.

  32. Włamania były i będą. Moim zdaniem nie wykonalne jest to, żeby ludzie przestali używać haseł typu kasia123 albo burek2. Wszelakie konta z tego typu hasłem będą przejmowane chociażby dla zabawy.

  33. Jak zwykle ludziska z(ludIaka z komentarzy)
    z NB wiedza lepiej ,każdy z was ma w 150 cm w pasie i na widok sportowca chowa głowę w brodę. Ps czekam na ripostę (ha ha “””hejt”””) do, tego zabrakło słownika dla mnie i mam 4 lata

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.