11:31
8/1/2012

Poniższy artykuł został nadesłany do serwisu Niebezpiecznik.pl przez jednego z czytelników.

Siadając rano do swojej maszyny spotkała mnie dosyć niemiła niespodzianka — w nocy ktoś dorwał się do mojego konta na Facebooku, na którym zmienił hasło, zdjęcie profilowe, powysyłał kilka wiadomości do moich znajomych, udzielał się w różnych dyskusjach i — co najgorsze — polubił z mojego profilu fanpage Apple ;)

Autorem tego artykułu jest Łukasz Więcek, właściciel serwisu dla majsterkowiczów myDIY.pl, na którym dowiecie się m.in. jak zrobić temperówkę z dysku twardego

Wiadomo — takie sytuacje do najprzyjemniejszych nie należą i najczęściej działają lepiej od kawy. Po szybkiej dedukcji doszedłem do tego, że najpierw ktoś dorwał się do mojej skrzynki pocztowej, a później, korzystając z odzyskiwania hasła uzyskał także dostęp do Faceboka.

Kilka chwil później znalazłem na swojej drugiej skrzynce pocztowej maila wysłanego przez Hakiera (tak się podpisał ;) z mojego przejętego konta. Hakier napisał, że hasło praktycznie dałem mu na tacy i po prostu nie mógł się powstrzymać, żeby nie zrobić małego psikusa. I dobrze, że tylko na takim psikusie się skończyło.

Odzyskiwanie dostępu do przejętych kont

Z odzyskaniem dostępu do poczty problemu nie było (Google Apps). Z Facebookiem też poszło gładko — wystarczyło skorzystać z linka, który znajdował się w mailu wysłanym do mnie przez Facebooka w momencie, gdy Hakier usuwał moje wszystkie maile podpięte do profilu (a miałem ich tam kilka).

Jak wyciekło moje hasło?

Najzabawniejszy w tym wszystkim jest sposób, w jaki wyciekło moje hasło. Wszystkiemu była winna jedna spacja (a w zasadzie jej brak). Na pewnej podstronie, na jednym z moich blogów miałem kiedyś wyświetlane statystyki Google Analytics wyciągane w PHP przez API bezpośrednio od wuja Google. Kilka miesięcy temu coś tam jednak Google namieszało i skrypt przestał działać wysypując całą stronę.

Na szybko /* zakomentowałem */ cały skrypt i tak to zostawiłem. Jak się jednak okazało, komentując kod PHP (razem z danymi do logowania w Google Analytics) nie zauważyłem braku spacji między <?php a /*. Parser widząc w kodzie <?php/* potraktował to jak zwykły HTML i wszystko wypluł w komentarzach w źródle strony ;)

Mogło być gorzej, ale…

Cała historia mogła skończyć się dużo gorzej, bo to hasło w źródłach było widoczne przez ładnych kilka miesięcy. Przed większym zamieszaniem uchroniło mnie pewnie tylko to, że do wszystkich serwisów mam osobne hasła.

Hasła są jak majtki. Zmieniaj je często, nie zostawiaj na widoku i nie pożyczaj obcym.

Myśląc teraz o tej historii przypomina mi się opisywana jakiś czas temu na Niebezpieczniku inna moja historia, w której opisywałem utratę dostępu do FB po tym, jak włączyłem podwójne logowanie, a pewnego dnia przestały dochodzić SMS-y z jednorazowymi hasłami. Część osób zwyzywała mnie wtedy od paranoików. Teraz już wiecie, po co są wprowadzane te podwójne logowania ;)

Jak widzicie, złotej recepty nie ma. Albo się jest paranoikiem, albo przez głupi błąd i niedopatrzenie można naprawdę wiele stracić. W tej chwili widzę, że FB się trochę poprawił w kwestii tych haseł, bo po włączeniu podwójnego logowania można też sobie wygenerować kilka zapasowych haseł jednorazowych, których można użyć w przypadku problemów w otrzymaniem SMSa. Dokładnie tak samo jest w Gmailu — po włączeniu podwójnego logowania w Google od razu otrzymujemy 10 jednorazowych haseł, których można w razie czego użyć.

W chwili obecnej mam już włączone podwójne logowanie zarówno w FB, jak i w poczcie, a zapasowe hasła mam w bezpiecznym miejscu ;) Mam nadzieję, że jutrzejszy poranek będzie spokojniejszy…

Autorem tego artykułu jest Łukasz Więcek, właściciel serwisu dla majsterkowiczów myDIY.pl, na którym dowiecie się m.in. jak zrobić temperówkę z dysku twardego

Przeczytaj także:

48 komentarzy

Dodaj komentarz
  1. Ciekawe jak bardzo bezpieczne jest to miejsce, z zapasowymi hasłami? ;)

    • keepass?

  2. Trzeba było używać OAutha przy wykorzystywaniu API.

    • no włacha

  3. mysle ze warto byloby bardziej zaznaczyc, ze autorem tego posta nie jest Piotr Konieczny
    w pierwszym czytaniu przeoczylem ten fakt i cale moje zaufanie do wiedzy piotra leglo w gruzach :)

    • A wydawało nam się, że doskonale widać 2 ramki (tak mocno wyróżnione) w tekście? Poza tym, każdy z autorów na Niebezpieczniku ma swój włąsny “username” wyświetlany zawsze pod tytułem posta. Jeśli pokazuje się “anonimowy” Mr. Niebezpieczny, oznacza to albo publikację w czyimś imieniu (jak tu) albo zbiorową pracę kilku osób.

  4. Kłania się regularna zmiana haseł.

    • Zabawne, pan paranoik który rzucał się co do logowania z sms’em i pokazywał, jak to dba o prywatność (co na szczęście zostało wspomniane), a nie stosuje podstawowej-majtkowej zasady z hasłami…

      2. Osobiście śmierdzi mi tutaj reklamą, każdy może poudawać i sfingować takie włamanie ściągając na siebie kolejne pary oczu, np. przez ten artykuł. Dla mnie dowodów nie ma – niespecjalnie wierzę w ta historię.
      Już kiedyś zganiłem pana Ł. W. za częste wypuszczanie lipnych aktualizacji pluginu do wordpress’a.Stąd moje besztanie i nieufność.

    • To może wiarygodności doda ten wątek: https://plus.google.com/105020798016042431621/posts/fwvTjDMyGDL — masz time tagi, możesz zrobić dochodzenie, jak to się stało, że ten artykuł tu się znalazł ;)

    • Co ma dodać wiarygodności tej historii? Rozmowa kilku ludzi o jakimś włamaniu? Puszczenie totalnej dezinformacji w internet i ciągnięcie kłamstwa nie jest żadnym problemem w dzisiejszym świecie: dyskusja ludzi o włamaniu, którego nikt póki co nie udowodnił.. nie jest dowodem. Ja jutro mogę przygotować przedstawienie wielkiego włamania, a za swój błąd wymyślę.. mhmm.. opublikowałem posta na blogu z moimi aktualnymi hasłami – cóż, nie pomyślałem, że ktoś postanowi je sprawdzić.. Z resztą jak to jest możliwe edytować kod i go nie przetestować? Sorry, nadal nie wierzę, dla mnie to kolejne działanie marketingowe tego Pana. Jakbym jeszcze w webarchive to hasło zobaczył na przestrzeni czasu.. no ale niestety, nie każdy system jest chętny do współpracy z polskimi ogonkami, o ile o tym blogu mowa…

  5. 1) Pytanie poboczne: jak to się stało, że w skrypcie php było wprost wpisane Twoje hasło? Do samego używania GA nie trzeba przecież wprowadzać hasła do kodu.
    Czy mam rozumieć, że z poziomu php logowałeś się do GA żeby wyciągnąć jakieś dane?

    2) Dlaczego masz potencjalnie bardzo niebezpieczny skrypt (hasła wprost wpisane w kodzie!) powiązany z kontem, którego używasz do (jakichkolwiek!) innych zadań?

    Nie chcę bezsensownie Ciebie atakować, a po prostu zastanawiam się, jak to się dzieje:
    gdy mówimy (na przykład) o usłudze na systemie U/Linuksowym to dla względnie ogarniętego admina jest to w miarę oczywiste, że nie wolno uruchamiać wszystkich usług na “nobody”, a gdy posługujemy się kontami w internecie, to konsolidujemy co się da – dokładne zaprzeczenie tego podejścia.

    To tak jakby przejęto Ci cały serwer przez jedną usługę poczty, bo wszystko chodziło na root. :) pozdrawiam!

  6. GDY USIADLEM, nie “siadajac”

    • Ale to było *w trakcie* siadania. Kojarzysz ten moment, gdy nachylasz tyłek nad fotelem, nagle coś zauważasz na monitorze i tak wisisz w powietrzu z zaskoczoną miną?

    • No to “gdy siadałem”, chyba że to niespodzianka usiadła przy swoim komputerze.

    • Siadając nie byłoby złe, gdyby z tego zdania nie wynikało że to niemiła niespodzianka siadała do swojej maszyny i spotkała Łukasza Więcka podczas siadania :)

    • Zdanie jest niepoprawne. Wynika z niego, że to niemiła niespodzianka siadała przy komputerze i spotkała autora

    • Przepraszam bardzo, czy my się znajdujemy na jakimś forum poświęconym poprawnej pisowni polskiej?

    • Nie, ale skoro na co dzień posługujemy się tym językiem, to róbmy to poprawnie. Zwłaszcza jeśli jest to oficjalny artykuł.

    • @bakulik: jako humanista – rozumiem i, jak najbardziej, popieram. Jako użytkownik serwisu poświęconego bezpieczeństwu IT – przymykam na to oko. Jako admin/mod sporych serwisów internetowych – walczę ze spamem ;)

  7. myDIY.pl wkrótce opanuje cały świat.
    Gratulacje dla Łukasza. :)

    PS
    W tekście jest błąd: ma być “DIY” zamiast “DYI”

  8. Gdybyś zmieniał hasła tak jak majtki – to by nic sie nie stało. Z tego co mówisz te hasła mają pare miesięcy.

  9. A może właśnie tak często zmienia majtki?

  10. Podwójne logowania – miodowa rzecz kiedy trzeba powiązać konto e-mail, facebooka i numer telefonu. Wielki Brat “lubi to” ;)

  11. A co z sytuacja kiedy loguje sie na konto google ze smartfona ? (pomijam kwestie jakiejs apki do zrobienia wipeout w przypadku kradziezy) wtedy przeciez zalogowany jestem caly czas, wiec podwojne logowanie nie ma sensu ?

    W ogole bede wdzieczny za poruszenie tematu bezpieczenstwa danych na smartfonach

    • Dla urządzeń, które nie wspierają 2 factor authentication są One-Time-Passwords generowane podczas włączania dwuskładnikowego uwierzytelniania.

    • @PK: Google ma application-specific passwords do tego celu (generujesz osobne, “stale” haslo do konkretnej uslugi). Jednorazowki chyba (tak wygladaja, nie testowalem) sa do urzadzen ktore uwierzytelnianie dwuskladnikowe obsluguja, ale akurat nie mozemy skorzystac z Authenticatora lub SMSa.
      @Ciastek: po kradziezy telefonu wystarczy, ze w panelu konta usuniesz mozliwosc logowania z Androida za pomoca osobnego hasla.

    • Oczywiście miałem na myśli application specific passwords, one app pass byłoby lepszym zwrotem z mojej strony, sorry.

    • Na Androida jest aplikacja od Google generująca kody dośtepu.

  12. Wspolczuje przygody :(

  13. Głę.. płytkie ukrycie? ;)

  14. Oh Łukaszu! Urzekła mnie Twoja opowieść! To się nadaje na kolejny odcinek “dlaczego ja?” – Łukasz Więcek lat X.
    Parser źle potraktował jego komentarz

  15. Inne hasło do każdej strony z której korzystamy to podstawa. Do ogarnięcia tego wszystkiego proponuję zainteresować się LastPass. Wygodne i bezpieczne :)

    Do autora tekstu. Proponuję zrobić psikusa hakierowi i zgłosić sprawę do prokuratury :)

    • Nie wiem czy moze mam cos z paranoika, ale mimo ze juz kilka razy nachodzila mnie mysl aby sobie konto na LastPass zalozyc, to jednak caly czas nie moge sie przekonac. Poki co mam wszystkie hasla w KeePass z odpowiednio dlugim haslem glownym i SpiderOak do synchronizacji pliku miedzy roznymi komputerami (czyli dla atakujacego 2 warstwy do pokonania: SpiderOak+KeePass). Zintegrowanie hasel z przegladarka zwiekszyloby znacznie moja wygode, ale nie moge sie oprzec mysli, ze kiedys ktos moze znalezc jakas dziure w tym calym LastPass i bede mial pozamiatane… Z tego samego powodu nie wyslalbym hasel w pliku plaintext na SpiderOak, mimo ze teoretycznie i tak plik bylby zaszyfrowany juz na moim komputerze. I tak nadal sie waham choc wygoda kusi.

  16. Trzymanie hasła do skrzynki e-mail w kodzie PHP na stronie = bezcenne.

  17. “Przed większym zamieszaniem uchroniło mnie pewnie tylko to, że do wszystkich serwisów mam osobne hasła.”

    Do tego maila miałeś podpietych wile kont (m.in. Allegro, last.fm, wykop) i pewnie większość z nich dało by się przejąć za pomocą odzyskiwania hasła. Śmiem więc twierdzić, że przed większym zamieszaniem uchroniło Cię właściwie to, że hasło w padło w ręce ‘nie tak bardzo złośliwego’ osobnika.

    Nie wspomniałeś też że zmienione hasła zostały Ci przekazane w pewien sposób :)

  18. “Siadając rano do swojej maszyny spotkała mnie dosyć niemiła niespodzianka”
    Było nie pozwolić tej niespodziance siadać do jej maszyny.
    Może to i nie na temat, ale takie pisanie to ostatnio plaga.

  19. Zasada jest prosta jak drut: swojego hasła się nigdzie nie zapisuje.
    Dotyczy to tak samo kartek przyklejanych do monitora, chowanych w portfelu, czy przyklejanych do karty kredytowej jak i skryptów PHP.

  20. Nie zapisuje się go też w żadnych programach do zarzą^H^H^Hpamiętywania haseł, żeby było jasne.

  21. Więcej :) Są do tego odpowiednie mnemotechniki i nie jest to specjalnie wyrafinowane :)

    • haslodopoczty123, haslodocrm123, etc.? :-)

  22. Moze Emsi ma jedno “swoje haslo” i go nigdzie nie zapisuje ;)
    Moze i ktos potrafi ogarnac w pamieci gdzie i jakie ma hasla (jakis staly system skojarzen z dana lokalizacja?), ale ja bez menadzera hasel juz bym zyc nie potrafil. Nawet bym nie ogarnal czy w niektorych serwisach kiedykolwiek zakladalem konto czy nie, bo czasem sie konto zaklada, uzywa raz do czegos, a pozniej zapomina.

  23. Hasła pamiętam bo mam dokładnie taki system skojarzeń ale z username-ami już jest gorzej, zwłaszcza do różnych stronek do których trzeba się zalogować raz. W tym drugim przypadku często działa logowanie przy pomocy oauth (FB, google) lub openID więc problem z głowy, ewentualnie jeśli nie podaje się tam żadnych danych a rejestruję się na email z mailinatora to używam hasła qpqp01. No a username/login ostatecznie można gdzieś zapisać :)

  24. Za publikowanie zmyślonych historii cofam subskrypcję niebezpiecznika.

    • Ta… My z kolei, dla pewności, zablokowaliśmy Twoje IP :-) Nie potrzebujemy tutaj “osób, które wiedzą lepiej”.

  25. Tak się dzieje, jak dzieci nie edytują kodu w Vimie.

  26. mam ten sam problem teraz, nie mam dostepu do niczego ani FB i poczty wszystko zostało zmienione nawet pomocnicze pytanie ktore mogłoby mnie uratować…potrzebuje rady bo nie mam zielonego pojecia co z tym zrobić :( proszę o rady :)

Odpowiadasz na komentarz Emsi

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.