21:58
5/6/2014

Advertisement

ESET właśnie rozesłał osobom posiadającym konta na ich forum dyskusyjnym informacje o kradzieży danych. Jest to kolejne forum programu antywirusowego, które zostało przejęte na przestrzeni ostatniego tygodnia — kilka dni temu wykradziono dane użytkowników także z forum Avasta. W przypadku czeskiego Avasta ucierpiało 400 000 użytkowników, w przypadku słowackiego Eseta 2 700.

Jak zhackowano fora Avasta i Eseta?

Zarówno w przypadku Avasta jak i Eseta, nie są znane szczegóły ataku ani to z jakiej podatności skorzystali włamywacze, aby wykraść imiona, nazwiska, e-maile i hashe haseł użytkowników. Fora były hostowane przez zewnętrzną firmę — Avast korzystał z SMF, jako silnika forum, a Eset z IP Board.

Nie sądzimy, aby firmy antywirusowe, których biznes polega w dużej mierze na szybkiej aktualizacji oprogramowania, zaniedbały aktualizację swoich skryptów forumowych — może więc słabym punktem okazał się któryś z dodatkowych modułów? Ostatnimi czasy dość spore żniwo zbierał błąd we wtyczce Tapatalk (dostępnej dla każdego z ww. for) — nie wiemy jednak czy któryś z producentów oprogramowania antywirusowego z niej korzystał u siebie.

Poniżej, dzięki uprzejmości jednego z naszych czytelników, Janka, komunikat, jaki ESET rozesłał dziś do swoich użytkowników:

Dear XXX,
We have been informed by our third-party forum provider that user login details of ESET Security Forum members have been compromised. At this time we have confirmed that login data (user name/email and hashed forum passwords) have been accessed. We have requested details about the incident from our provider and have launched a full-scale investigation with them. ESET Security Forum has around 2,700 registered users and the only information stored are login details: no financial or other sensitive data are affected. ESET-operated infrastructure and ESET software users were not affected in any way by this incident.
We recommend that all ESET Security Forum users change their passwords. Having different passwords for different services is a good practice: if you used your ESET Security Forum password for other services, we recommend that you also change those passwords immediately too. Some useful tips on how to create strong passwords can be found at ESET WeLiveSecurity website: http://www.welivesecurity.com/2013/07/17/how-to-create-strong-passwords-without-driving-yourself-mad/
We apologize for any inconvenience.
ESET Security Forum

Miałem konto na tym forum, co robić, jak żyć?

Wyciek haseł (najprawdopodobniej zahashowanych) z forum producenta antywirusowego nie powinien spowodować większych strat (konto to samo w sobie nie pozwala na wiele). Gorzej, jeśli ktoś z Was miał takie samo hasło jak do forum także w innym miejscu…

Jak zwykle w tego typu sytuacjach polecamy zweryfikować, czy hasło, które mieliście do ww. zaatakowanych systemów nie było przez Was przypadkiem używane w jakimkolwiek innym miejscu. Jeśli tak, należy natychmiast je zmienić.

Do bezpiecznego zarządzania unikatowymi hasłami polecamy narzędzie KeePass.

PS. Forum którego antywirusa będzie następne? :-)

Przeczytaj także:



28 komentarzy

Dodaj komentarz
  1. Eh panowie… Maila o tym Wam tydzien temu wyslalem moze nawet wiecej. Ogloszenie na serwerze forum Avasta wisi rownie dlugo ;). Musieliscie poczekac az Eseta ktos sieknie zeby polaczony news zrobic? :D

    Pozdrawiam.

    Andrzej

  2. Nie robi to za dobrej reklamy tym firmom, skoro komuś udaje się zhackować ich forum. Na ich własnym hostingu czy innym nie zmienia faktu, że nie zrobili dokładnie testów penetracyjnych skryptów na forach.

    • To mógł być jakis 0day na skrypt forum albo wjazd na firmę hostingową (por. Hetzner https://niebezpiecznik.pl/post/hetzner-zbackdoorowany-dane-klientow-najprawdopodobniej-wykradzione/ czy OVH https://niebezpiecznik.pl/post/ovh-zhackowane-miales-konto-zmien-haslo/) — na razie ciężko doszukiwać się winy ESET/Avast, bo w zasadzie nic nie wiadomo. Trzeba poczekać na postmortem.

    • Szczerze powiedziawszy nie widzę związku. Antywirusy, to głównie grzebanie się na najniższych poziomach i raczej w okienkach (as in Windows/X-Windows). Bawienie się w w forum (program przeglądarkowy, czy webowy jak kto woli) to zupełnie inna brożka. Wielkie, globalne firmy zajmujące się poważnym oprogramowaniem nie potrafią sobie zintegrować logowania na forum ze swoim systemem zgłaszania błędów…

      Nie zdziwiłbym się zatem gdyby forum zajmowała się jedna osoba, dla której jest to zajęcie wyłącznie przy okazji i zasadniczo w firmie są ważniejsze rzeczy niż aktualizację…

    • Tak, zgadzam się, z informatycznego punktu widzenia jak najbardziej się zgodzę. Ale dla zwykłego użytkownika, który patrzy na to z perspektywy potencjalnego klienta może nie zachęcić za bardzo do korzystania z ich produktów. Ale zobaczymy co wyjdzie ;)

  3. Ja rozumiem, że informacje o KeePass są podawane prawdopodobnie z powodu jakiejś reklamy, ale moglibyście dorzucić do tego jakieś alternatywy, np. LastPass, który jest zdecydowanie lepszy moim zdaniem. Osobiście używam LP + Yubikey dla zwiększenia bezpieczeństwa konta i jestem z tego zadowolony.

    • Zaletą Keepasa jest to, ze jest na praktycznie kazdy system (w tym mobilne) i trzyba baze offline. A LP nie: https://niebezpiecznik.pl/tag/lastpass/

    • wybacz ale chyba a nie wiesz o czym mówisz. lastpass dziala bez problemu na chrome, ff i androidzie (inne mnue nie interesują) jak rowniez daje rade offline. wiec czego ci brakuje?

    • Naprawde nie widzisz roznicy w architekturze tych 2 rozwiazan, czy tylko trollujesz? :)

    • LastPass też jest offline, ale oczywiście masz rację, że synchronizacja jest pewnym wyłomem… Tylko, że to jest synchronizacja zaszyfrowanej kulki. Oczywiście jak ktoś się bardzo będzie chciał, to pewnie może się do niej dobrać, ale w żadnym z tego typu rozwiązań nie trzymałbym haseł od którego zależą losy świata ;-). Natomiast LastPass ma tę zaletę, że umożliwia synchronizację i integruje się z przeglądarkami zastępując wbudowane mechanizmy, które czasem w ogóle nie są zabezpieczone (większość mobilnych przeglądarek).

      Największym minusem jest w sumie to, że za wersje mobilne trzeba zapłacić, a przy startowaniu FF LastPass ssie procesor okrutnie. Zresztą w Chrome też trochę tnie. No i nie chcą mi zrobić kopiowania do schowka w Operze 12. Dranie ;-).

    • @Piotrze, nie wiem kto tu trolluje. LP działa zarówno w przeglądarkach na PC jak i mobilnych i również jako aplikacja desktopowa, nie potrzebuję również instalować/pobierać żadnych aplikacji by z niego korzystać, co w przypadku KeePassa nie jest możliwe. Jeżeli posiadam dwa różne systemy np. Win + Lin, to muszę mieć dwie różne wersje KeePassa, by korzystać ze swojej bazy, dodatkowo muszę gdzieś ją trzymać lub przenosić. W przypadku LP mogę bez żadnych dodatków logować się na stronie LP, lub korzystać z pluginów LP, które instaluje się bez uprawnień administratora, więc też żaden problem. Nie widzę w czym może być gorszy LP od KeePassa… Jeżeli nawet wyciekłaby baza LP, to co z tego, skoro nadal cała baza jest zaszyfrowana, a ja w tym momencie mogę zmieniać hasła, które były zapisane w LP. A KeePass? Zdarzyło mi się uszkodzić bazę, jak i zapomnieć hasła do niej – co prawda nie były tam jakieś wrażliwe dane, ot, dodatkowa baza z mniej ważnymi pierdółkami, ale jednak straciłem dostęp. W przypadku LP o uszkodzeniu/zgubieniu bazy nie ma mowy, a zmiana hasła – o ile jest włączona funkcja “jednorazowego hasła odzyskania konta” w pluginie do przeglądarki – jest możliwa. Dlatego preferuję LP i uważam, że pozwala na dużo więcej niż KeePass…

    • KeePass też może działać online na wielu maszynach.

      Rzecz w tym gdzie trzymamy plik bazy danych.

      Oczywiście nie jest to rozwiązanie dla nietechnicznych.

    • A ja polecam 1 Password

    • Z ciekawości Piotrze jak rozwiązałeś problem z synchronizacją bazy w KP ??
      Używam LP na komórce, 3 komputerach i nie wyobrażam sobie co chwile “biegania” z bazą po każdej jej aktualizacji.

  4. Ja bym spojrzał na to inaczej, głębiej… czasowo, producenci AV dają nam możliwość wykrywania zagrożeń, nie pełnego bezpieczeństwa, ja osobiście jadę Kaspersky (bazowy) Eset (online) i Spybot S&D (dodatkowy) – fajny komplet, niestety nie przeglądną te wynalazki np. naszych plików z FTP, czy oprogramowania z serwera…

  5. A kiedy https na niebezpieczniku? ;)

    • A po co?

  6. Ostatnio coraz więcej stron ma paczkę.Pytanie czy to wina ze coraz jest więcej ludzi którzy znają temat czy coraz więcej bubli robią w sofcie.

    • wydaje sie prawdopodbnym, ze stwierdzenie “100 wie ze sie nie da a przyjdzie 101, ktory nie wie i to zrobi” jest tutaj na miejscu.
      skala swiadomych i zacieklych userow wzrasta codziennie.

  7. Jakieś dodatkowe informacje o błędzie we wtyczce tapatalk? “Trochę” for jednak jej używa… Jakieś “jak żyć” by się przydało ;-)

  8. zarowno ipboard jak i SMF maja super dziorki znane juz co poniektorym siedzacym w temacie .Pisano juz o tym na jednym z for o wlasciwej tematyce

  9. Tak się kończy wykorzystywanie zewnętrznego silnika do forum. Po prostu ESET i nie tylko on padł ofiara słabości owego rozwiązania, co na szczęście nie wpłynęło na ESET jako program antywirusowy, bo forum i oprogramowanie desktopowe to dwie różne rzeczy.

  10. A są jakieś polskojęzyczne narzędzia do zarządzania hasłami?

    • KeePassX ma polską wersję.

    • Polecam lastpass, dostęp wszędzie gdzie chcesz, wtyczki do wszystkich popularnych przeglądarek i do popularnych systemów.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: