14:52
5/8/2014

Forum dla osób zainteresowanych tematyką tzw. “hackingu” zostało zaatakowane. Wykradziono logi i prywatne wiadomości użytkowników.

Hackinq.pl zhackowane

Ataku miał dokonać niejaki unikalnypseudonim, który w e-mailu przesłanym do redakcji Niebezpiecznika napisał:

hackinq.pl hacked

hackinq.pl hacked

Uzyskalem kilkanascie tygodni temu dostep do serwera forum -hakerow- hackinqDOTpl.
Stoi na digitalocean, co oczywiscie nie mialo wplywu na atak (uzylem 0day na wtyczke do MyBB).
Potem zamiast publikowac baze danych, sledzilem, zapisywalem oraz ukladalem informacje,
ktore moga pograzyc tych pseudo-czarnych-kapeluszy.
(…)
Poza tym posiadam informacje (a bardziej dowod: kto jest nimi, a kto nie jest nimi i dlaczego) o Zdzislawie Dyrmie oraz NVM no i niepewne o Mbanku wraz z adresami IP co do pierwszego i ostatniego Pana.
Cala baza w pelni na sprzedaz dla sluzb oraz zainteresowanych osob (porachunki?).
Oczywiscie sposob platnosci jak najbardziej wirtualny, w BTC.

Unikalnypseudonim na dowód swoich czynów przesłał nam login, hasło i screenshot skrzynki odbiorczej jednego z administratorów forum. Ponieważ sprawdzienie poprawności danych logowania byłoby naruszeniem prawa, nie jesteśmy w stanie potwierdzić prawdziwości tych danych. Ale wszystko wskazuje na to, że nie ma takiej potrzeby, ponieważ najnowsze posty na forum ujawniają, że rzeczywiście konto to zostało przejęte i pojawiają się z niego dziwne wiadomości, a sam unikalnypseudonim (status “nowy”) na forum jest w stanie banować swoich adwersarzy (zapewne właśnie korzystając z uprawnień jednego z przejętych kont moderatorskich).

hakinq_pl

Unikalnypseudonim wykradł baze danych forum hakinq.pl

Unikalnypseudonim wykradł baze danych forum hakinq.pl

Unikalny pseudonim w dalszych postach informuje, że bazę chce przekazać policji.

Fabrykakluczy.pl zhackowana?

W załączniku do wiadomości od Unikalnegopseudonimu znajduje się też screenshot wiadomości skierowanej przez jednego z użytkownika forum do moderatora. Post dotyczy sprzedaży danych z serwisu fabrykakluczy.pl i rzekomej kontroli nad tym serwisem:

Hax_fabrykakluczy_pl

Wszystkich użytkowników tego serwisu zachęcamy do prewencyjnej zmiany hasła.

Aktualizacja 18:29
Otrzymaliśmy oświadczenie FabrykiKluczy:

“Incydent rzeczywiście miał miejsce na początku naszej działalności, w maju 2012 roku.
Zhackowanych zostało kilka kont należących do naszych klientów, które miały znaczną ilość punktów partnerskich.

Natychmiast po ataku luka w zabezpieczeniu została naprawiona, hasła klientów zostały zresetowane a nasi użytkownicy zostali poproszeni o zmianę hasła do panelu logowania.

Z perspektywy czasu cieszymy się, że ten mały, ale zimny prysznic przyczynił się do zwiększenia naszej uwagi na zabezpieczenia i ochronę danych naszych klientów. Jak to się mawia “lesson learned”, odrobiliśmy lekcje i uszczelniliśmy system.”

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Nie popieram włamań, ale chyba można to nazwać zwalczaniem złego? Taki blackhat antymateria? ;)

    • to nie jest zwalczanie złego a raczej porachunki

  2. Może to FAKE? Administracja często robiła sobie żarty, albo i nie?

  3. Na tym forum, i tak siedzą same gimbusy, więc raczej nie będzie zainteresowanych bazą tego gówna. Później sam wrzuce dumpa.

  4. Jak ktoś ustawia takie lamerskie hasła to jest d00pa a nie blackhat!!! Amatorka pełną gębą!

    • Napisał bystrzak , który nie zauważył , że początek oraz koniec hasła jest zamazany…

  5. Nic mu nie zrobi. Jest nieletnim gimnazjalista….
    Sorry PaeudoGimnazjalista..

  6. Yo Dawg! I heard ya like hacking, so you can hack other hackers while being hacked

  7. Ciekawe co robi “linc0nl.dll” w tagach ;-)

  8. Strona obecnie nie działa więc żartów sobie nie robią. A po drugie to żeby taki Hax0r 1337 i wgl pro elo serwis dla hakerow i powalił go 0day.

    • Najlepiej ujął to JohnSniff w swoim komentarzu:

      “Na tym forum, i tak siedzą same gimbusy, więc raczej nie będzie zainteresowanych bazą tego gówna. (…)”

      Od siebie dodam, że cała ta banda gimbusów rozsyła miedzy sobą malware pod przykrywką super-hiper aplikacji który umożliwia dokładnie to czego drugi gimbus od niej oczekuje.
      Co do kwestii, że nikt tą baza zainteresowany nie będzie to akurat nie był bym tego taki pewien. Z drugiej jednak strony skoro unikalnypseudonim decyduje się oddać bazę w ręce policji to faktycznie może nikt się nie chciał skusić, a sam sprawca wykazuje się teraz wyjątkową “bystrością” umysłu.

  9. Stare czasy poszly w pizdziec wszyscy dymają wszystkich i to ostro wqrwia
    co zrzutke sobie z dt na 0daya?
    tyle lat bylo spoko i sie przywala jakiś “unikalny” może powinni skrocic wakacje bo to szkodzi:P i fioly kwitna”i w dupach sie poprzewracalo”
    a jak chce wspolpracowac to jest chuj-skrzat a przepraszam whitehat hehe sranie w banie chyba blackhata nie widzial dlatego jesttaki unikalny
    stare czasy sie skonczyly teraz sie ma wszystkich i wszystko za nic
    nie daj się Mario
    // polonistom za komenty dziekujemy

    • Zawiało geniuszem…

    • Zawiało Jackiem R. który dużo piszę == mało robi.

    • c3Rhcnltb2Q=@

      hehe, a może ten unikalnytyp jest po prostu “unikalny” inaczej :D

      p.s. zgadzam się z twoją wypowiedzią – w dupach się im obecnie poprzewracało. No ale jeszcze tylko miesiąc, a potem.. z powrotem marsz do szkóły, a na przerwach – jak to zwykł robić dietetyk roku (*) biegać po szczaw i mirabelkli..

      (1) http://tinyurl.com/dietetyk-roku

  10. http://www.fabrykakluczy.pl/ You don’t have permission to access / on this server.

    Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request. :))

  11. Zablokowali Aero ?

  12. A trochę więcej informacji o ataku? W jakim pluginie była podatność?

  13. http://pytamy.y0.pl/search.php?action%5B%5D=results&sid=a559b3e2f6819addcd4c9fe145ae691a

    i oto caly 0Day

    search.php?action[]=

    https://cxsecurity.com/issue/WLB-2014070152 bug opublikowany przez DemoLisH

    a znany juz od dluzszego czasu.

    • FPD? Śmieszny jesteś jeżeli szukajka to wtyczka do MyBB.

  14. Ciekawe czy unikalnypseudonim zatarł za sobą ślady na tyle skutecznie, żeby pozostaś tym unikalnym psedonimem.

    • właśnie dlatego napisał, że “kilkanaście tygodni temu” – żeby było więcej szukania w logach.

  15. Na jednym ze screenów widać adres e-mail naszego “włamywacza” – unikalnypseudonim@mac.hush.com

  16. Przecież wszyscy wiedzą, że linc0nl.dll = nvm = Zdzisław Dyrma.

    Na forum i tak rezydowali sami lamerzy, więc owned mógł paść tylko z rąk lamera.

  17. a hackiq.pl nie podesłał Wam jeszcze oficjalnego stanowiska w tej sprawie? pewnie czyszczą dyski w pośpiechu. beka

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.