10:11
12/8/2012

Oto list, jaki otrzymaliśmy od naszego czytelnika, Miecia BuCrack:

Od kilku dni (wcale nie taki mały) serwis dla graczy i platforma hostująca gry g4g.pl jest niedostępna. Z początku myślałem, że winny jest dostawca usług hostingowych, jednak przed chwilą sprawdzając maila odczytałem wiadomość o następującej treści:

Drogi Uzytkowniku G4G,

Z przykroscia informujemy, iz odkrylismy nieautoryzowany dostep do naszej bazy uzytkownikow G4G. Jest nam bardzo przykro, iz taka sytuacja zaistniala, gdyz z naszej strony dolozylismy wszelkich staran, aby taka sytuacja nie miala miejsca.

Do bezprawnie pozyskanych danych moze nalezec, wedlug ustalonych przez nas obecnie informacji, lista adresow e-mail, loginy oraz hasla dostepu uzytkownikow kont G4G.pl. Jezeli uzywasz tego samego lub podobnego hasla w innych celach, np. w skrzynce email, na wszelki wypadek sugerujemy jego zmiane.

Jednoczesnie sugerujemy zmiane hasla do portalu G4G.pl juz w tej chwili pod adresem

http://www.g4g.pl/newpass.php

W zwiazku z powyzszym w momencie odkrycia zaistnialej sytuacji nasze serwery oraz strona G4G.pl zostaly niezwlocznie wylaczone. Wraz z naszymi specjalistami od spraw bezpieczenstwa natychmiast rozpoczelismy prace nad jeszcze wiekszym uszczelnieniem naszych zabezpieczen i w dalszej kolejnosci – nad przywroceniem dostepnosci G4G. Podjelismy rowniez wspolprace z przedstawicielami prawa w celu ustalenia sprawcy ataku.

Chcielibysmy Cie przeprosic za istniejace niedogodnosci i juz teraz zaprosic do odwiedzania serwisu G4G.pl, ktory chcemy uruchomic na nowo w najblizszych dniach.

Jezeli korzystasz z naszych serwerow gier informujemy, iz dostep do uslugi zostal przywrocony w ciagu niecalych 24 godzin. W ramach rekompensaty za powstale niedogodnosci wykupiony czas dostepu zostal przedluzony o kolejne 7 dni.

Z powazaniem,
Administrator G4G

Włamywaczem jest abu nazir, który znany jest Czytelnikom Niebezpiecznika z włamań do serwisu gram24.pl oraz streamkeys.pl.

g4g.pl hacked by abu nazir

g4g.pl hacked by abu nazir (fot. cyrq)

Oto oświadczenie, jakie podesłał nam włamywacz, Abu Nazir:

Admin nijaki “Wiciu” ustawił sobie hasło “qwerty12” – to hasło umożliwiało zarządzanie całą stroną bez jakichkolwiek dodatkowych autoryzacji do admin panelu czy serwerami gier, po prostu wszystko było dostępne.
Na serwerze pod adresem g4g.pl/DB umiejscowili narzędzie do robienia kopii bazy, a logowanie odbywało się za pomocą danych do bazy, a o to dane:
Login: g4g
Hasło: ****12
i dla forum:
Login: forum
Hasło: ****12

Ich tłumaczenia: “Jest nam bardzo przykro, iz taka sytuacja zaistniala, gdyz z naszej strony dolozylismy wszelkich staran, aby taka sytuacja nie miala miejsca.” nie są prawdziwe, jak można dołożyć wszelkich starań ustawiając takie hasła.

Jeśli możecie poinformujcie ludzi jaka jest prawda. Mam także wiele pytań o upublicznienie bazy to zmieniłem swoje nastawienie i nie upubliczniam już baz, co z tym idzie meile/hasła itp użytkowników g4g są bezpieczne.

Jednen z naszych czytelników zauważa jednak, że: niektórzy, posiadający to samo kombinacje e-mail-hasło na poczcie, jak na g4g.pl starcili dostęp do swojej poczty, w niecałą godzinę po pojawieniu się info na g4g.pl o ataku.

G4G.pl poinformował o włamaniu krótko po tym jak Blizzard ujawnił, że padł ofiarą ataków.

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Jeszcze większym uszczelnieniem zabezpieczeń? Raczej ich stworzeniem skoro hasła wyciekły (pisze wyraźnie hasła a nie skróty czy też zaszyfrowane hasła, więc pewnie “plain-text”.

    • Raczej nie, napisał “Hasełka co prawda kodowane, ale słabiutko”.

  2. Na FB napisali, że hasła są zahashowane md5, ale bez soli.
    Niektórzy, posiadający to samo kombinacje e-mail-hasło na poczcie, jak na g4g.pl starcili dostęp do swojej poczty, w niecałą godzinę po pojawieniu się info na g4g.pl o ataku.

  3. g4g.pl/DB

    Głębokie ukrycie =)

  4. Takie sytuacje uwydatniają sens ustawiania do każdego konta innego hasła.

  5. dlatego serwery powinny być tworzone i zarządzane WYŁĄCZNIE przez twórców gry.

    • Chyba nie zdajesz sobie sprawy z tego jak głupi txt właśnie napisałeś – możliwość postawienia swojego serwera gry to bardzo ważny element tego aby w grę dało się grać w multiplayer po tym jak wydawcy się już znudzi utrzymywanie oficjalnych serwerów. Po dziś dzień ludzie grają w Quake 1, bo można własny serv postawić, a w jakieś shootery z konsol to po 2-3 latach nie da się zagrać bo serwery wyłączone, aby ludzi zmusić do kupna nowej części serii, w którą mają grać.

      Inna rzecz, że możliwość postawienia własnego serwera ma się nijak do treści artykułu.

    • @efjk, Ma to sens zwłaszcza w kontekście przytoczonej informacji o zhackowaniu Blizzarda -.-

  6. Ch*j nie haker – zmieniając dane logowania do emaila nic niewinnym ludziom powinien zostać powieszony publicznie w warszawie za jaja. Prawdziwy haker tak nie postąpi ;)

  7. Ostatnio za każdym razem, kiedy wchodzę na Niebiezpiecznik, widzę info o wycieku. Aż strach człowieka chwyta.

    • Zauważ, że większość tych wycieków jest spowodowana amatorszczyzną ze strony administratorów stron.

    • eeeee… jak by to ująć… it’s a feature, not a bug ;] taka już tematyka tego serwisu ;]

    • przerwa wakacyjna w szkole :P

    • @ntrs
      czy zakładając JAKĄKOLWIEK stronkę musisz stać się mistrzem w zabezpieczeniach? Dlaczego nie można sobie stworzyć czegoś OT TAK… aby było, aby nikt nie popsuł?

      “Jestem, więc niszczę”, co nie? ;)

  8. Nie zostały zmieniane jakiekolwiek hasła na poczcie użytkownikom z g4g, próba podjęcia rozkodowania haseł była dopiero następnego dnia, gdzie udało się rozkodować 4231 z 9465 haseł, z czego 3774 unikalnych.

    • Jeśli ty to zrobiłeś to dzięki za stratę konta pocztowego.

    • @up przecież napisał, że to nie on. Skoro nie udostępnia baz, to znaczy, że tutaj też mówi prawdę.

      Skoro md5 bez soli to w sumie słaby wynik. Jakbyś potrzebował mocy do generowania tęczówek to nie krępuj się.

    • Też sobie mogę napisać bzdury, a cichaczem przyjmować oferty kupna za $$$.

  9. No ja to rozumiem, po prostu teraz wychodzą takie ‘afery’ bardzo często :)

  10. Nadejdą czasy w których Niebezpiecznik będzie lekturą szkolną.

    • Nie.

  11. Kontakt @ interia

  12. Abu Nazir pewnie nie byl pierwszy na G4G.pl. Ktos kto juz tam siedzial zauwazyl ze Abu buszuje po serwisie i zaczal zniwa wczesniej. Chcial nakosic ile wlezie zanim sprawa wyjdzie
    Taka moja teoria

  13. Jeżeli admin miał hasło – a wynika że miał to “pan” abu nazir popełnił przestępstwo. Koniec kropka. Jeżeli skrypty wymagały haseł do bazy to także popełnił przestępstwo.

  14. Taa przestepstwo … Dzieki Abu jeszcze jeden serwis dostal klapsa w tylek i musi polepszyc zabezpieczenia bo teraz bedzie wielu probowalo G4G.
    W sumie ich nie zaluje – dostalem tam bana w podejrzanych okolicznosciach

  15. Co z tego, że hasło było jakie było. Czy strona była jakimś wyzwaniem dla kogokolwiek? Była sajtem zrzeszającym graczy i tyle. Co komu przeszkadza, że gdzieśtam działa sobie jakaś społecznościowa stronka? Nie czaję. Jej założeniem nie było stwarzanie wyzwania hakierom.
    Można by rzec… “masz w domu tylko zamek? Ha ha ha… co za lamus: nie ma alarmu, monitoringu, ochrony i szkolonego pingwina!”.
    Dlaczego jakiś bajbus miałby się włamywać na g4g? Zwykły złodziej i destroyer, który szuka jak coś rozpierdzielić i przy okazji może coś zwędzić. Przez takich typów ludzie zamiast tworzyć, coś budować, tracą czas na zabezpieczanie się aby ktokolwiek im tego nie ukradł. Czy zakładając stronkę chcąc COŚ zrobić nagle musisz stać się expertem od securitasów bo co jeden baran zaraz się tam włamie i rozpierdzieli? Co za chore podejście … i weź tu człowieku chciej coś zrobić.
    Jeśli hasło było JAKIEKOLWIEK to włamując się popełniasz przestępstwo i tyle. Mam nadzieję, że jakaś kara go spotka.

    • Jak się robi takie coś jak G4G to powinno się porządnie zabezpieczyć – tym bardziej, że wynajmowali serwery za kasę…

  16. Witam ma ktoś z was kontak z administracją g4g? Potrzebuje na nich jakiś namiarów :(

    • Najłatwiej na facebooku.
      Ogólnie jakos tam Abiemu ufam z tymi bazami.

  17. Ja hasło zmieniłem dopiero po meilu od g4g, wcześniej miałem to które dostałem przy rejestracji czyli takie 465j64k643k5. A Panu włamywaczowi dziękuję, bo mam serwer 7 dni dłużej.

  18. Nie żałuję G4G . To serwis pełen fanatyków, noobów i donosicieli. Banują na swoich serwerach za byle co; bezpodstawnie wpisują na liste cheaterów . W końcu ktoś się zemścił…

  19. Brak kontaktu z administratorem g4g.pl albo ja nie umiem znaleźć. Wiecie może jak sie można skontaktować w sprawie zrestartowania wykupowanego serwera ?

  20. G4G nadal lezy. Bardzo dlugo

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.