14:45
14/9/2012

Wczoraj kilku czytelników podesłało nam linka do wklejki na Pastebin.com, w której anonimowy internauta informuje, że na jednym z serwerów w domenie sprintdatacenter.pl miał natknąć się na znajdujące się w tzw. “głębokim ukryciu” aktualne backupy serwisów internetowych nie tylko samej serwerowni SDC, ale również jej klientów (wspomina o plikach należących do Generalnej Dyrekcji Dróg Krajowych i Autostrad). Co gorsza, serwer miał wystawiać na świat dostęp do panelu phpMyAdmin, przy pomocy którego miała istnieć możliwość odczytania danych osobowych klientów Sprint Data Center a także ich hashe haseł.

Wyciek danych ze sprintdatacenter.pl

Internauta, który miał natknął się na niezabezpieczony serwer należący do olszyńskiego hostingu Sprint Data Center, w swojej wklejce udostępnił kilka screenshotów:

Głębokie ukrycie w SDC

Głębokie ukrycie w SDC (SprintDataCenter.pl) – lista widocznych, niezabezpieczonych przed dostępem katalogów z danymi klientów

Hasła SDC

Hashe haseł klientów SDC (SprintDataCenter.pl) – dostęp przez niezabezpieczony phpMyAdmin

Klienci SDC

Klienci SDC (SprintDataCenter.pl) – dane klientów serwerowni SprintDataCenter.pl

Jak widać, potencjalny atakujący (a w zasadzie każdy internatua, który trafil na ten serwer) miał dostęp do:

  • backupów baz MySQL niektórych stron hostowanych w SDC
  • faktur i danych osobowych klientów (imię, nazwisko, adres zamieszkania, telefon, adres e-mail, hash hasła, salt)
  • haseł dostępowych do usług SDC (SOAP, SMTP)
  • logów z opłat wykonywanych przez DotPay

Oto pytania, jakie wczoraj wieczorem e-mailowo zadaliśmy SDC (z kopią do GDDKiA):

1. Do kogo należy serwer XXX.rev.sprintdatacenter.pl i dlaczego znajdują się na nim dane osobowe, oraz dane wrażliwe dostępne bez żadnego uwierzytelnienia?
2. Z jakich procedur ochrony danych klientów korzysta SDC?
3. Ile osób uzyskało dostęp do tych danych i czy osoby, których dane były dostępne publicznie bez żadnego uwierzytelnienia zostały poinformowane o możliwości wycieku?
4. Do czego może w/w dane wykorzystać potencjalny atakujący?

A oto nadesłane dzisiaj odpowiedzi Mirosława Mikołajczyka, Dyrektora Pionu Data Center:

W dniu 12 września 2012 Sprint Data Center prowadził prace, których celem były testowanie nowych funkcjonalności własnego oprogramowania. Mając dobre zamiary, jeden z pracowników samowolnie złamał nasze procedury bezpieczeństwa, w efekcie czego deweloperski, nieprodukcyjny serwer został włączony do sieci Internet.

Na serwerze znajdowały się archiwalne i robocze kopie testowe naszego oprogramowania, co jednak należy podkreślić, nie znajdowały się na nim aktualne dane produkcyjne. Wśród materiałów znajdowała się baza danych z historyczną listą użytkowników wraz częściową kopią archiwalnego, obecnie od roku nieużywanego serwisu internetowego GDDKiA.

Dodatkowo należy mocno podkreślić, iż DK8 lub DK9, to robocza nazwa naszego wewnętrznego oprogramowania, która nie ma żadnego związku z „Drogami Krajowymi”.

Odpowiadając konkretnie na zadane pytania:

Ad1. xxx.rev.sprintdatacenter.pl jest adresem bramy NAT jednej z naszych sieci wewnętrznych. Na w/w bramie oczywiście nie znajdują się żadne dane wrażliwe. W wyniku niefortunnego zbiegu okoliczności na bramie zostało wprowadzone przekierowanie portu HTTP na deweloperski, nieprodukcyjny serwer.

Ad.2.

Stosujemy wewnętrzne procedury bezpieczeństwa zgodne z obowiązującymi przepisami prawa i ogólnie przyjętymi dobrymi praktykami. Wśród stosowanych procedur znajdują się między innymi procedury zgodne z ISO27001, obejmujące obszary takie jak bezpieczeństwo fizyczne obiektu (np. dwustronna kontrola dostępu połączona monitoringiem wizyjnym), bezpieczeństwo sieci komputerowej (stały monitoring sieci), bezpieczeństwo energetyczne (redundancja zasilania).

W stosowanym oprogramowaniu przestrzegamy dobrych praktyk, np. przechowywanie haseł użytkowników w kryptograficznej formie skrótów z solą.

Ad.3.

Według naszych analiz, dostęp do danych uzyskało 5 osób (komputerów). Przy czym jedna osoba uzyskała dostęp do bazy danych. Jesteśmy w trakcie wyjaśnień z osobami/firmami, będącymi właścicielami numerów IP, które uczestniczyły w incydencie. W trybie natychmiastowym podjęliśmy działania zaradcze wśród klientów, co do których zaistniało podejrzenie o możliwym zagrożeniu. Między innymi została wyeliminowana przyczyna zaistniałego zdarzenia, a zainteresowani klienci zostali poinformowani o potencjalnym zagrożeniu, oraz profilaktycznie zostały zmienione hasła dostępowe.

Ad.4.

Wśród danych znajdowały się hasła użytkowników. Jednak według naszych analiz były to hasła nieaktualne. Niemniej ze względów bezpieczeństwa, prewencyjnie zostały one zmienione. Do tej pory nie odnotowaliśmy żadnego nieuprawnionego wykorzystania danych.

Zaistniała sytuacji pokazała nam luki w stosowanych procedurach, które już zostały usunięte.

Dziękujemy za zwrócenie uwagi na powyższy incydent. Ze swojej strony pragniemy nadmienić, iż zaistniałe wydarzenie zostało bardzo skrupulatnie przeanalizowane. Wyciągnięte wnioski zaktualizowały nasze procedury bezpieczeństwa.

Jestem klientem Sprint Data Center — co robić?

Serwerownia Sprint Data Center, jak można przeczytać powyżej, jest świadoma incydentu i podjęłą już stosowne kroki mające na celu zapewnienie ochrony swoim klientom. Mimo wszystko, sugerujemy jak najszybszą zmianę swoich haseł dostępowych do wszelkich usług hostowanych w ramach infrastruktury Sprint Data Center — nie wiadomo kim są osoby, które mogły mieć dostęp Waszych danych i co mogły z nimi zrobić przez czas, w którym serwer był dostępny w internecie.

Informacja o wklejce z Pastebin.com została także opublikowana na forum Webhostingtalk.pl — ale wszystko wskazuje na to, że wątek ten został usunięty (Sprint Data Center jest jednym z partnerów tego forum).

Przeczytaj także:



18 komentarzy

Dodaj komentarz
  1. https://www.sprintdatacenter.pl/12/o-firmie ale auto reklama mega :D

  2. kurcze .. tak się zastanawiam.. czy nie powinno być prawnego obowiązku ścigania dopuszczających się takich naruszeń i obowiązku poinformowania “ujawnionych” osób o fakcie.

  3. “Osoba, która opublikowała informację na Pastebin.com, opublikowała ją także na forum Webhostingtalk.pl — ale wszystko wskazuje na to, że wątek ten został usunięty (Spring Data Center jest jednym z partnerów tego forum).”

    Sprint, nie spring.

    Ale tak, incydent na forum też mnie zainteresował – informacje tego typu, złe opinie czy “wyśmiechlojki” z innych (mniejszych) firm na forum były, są i będą, a tego typu informacja o sponsorze forum znikła w trybie ekspresowym ;-)

    • Hej,

      Po pierwsze, staramy się aby pewnych danych nikt nie publikował na forum. Dane na WHT były z linkiem do pastebin, który nawet tutaj nie został opublikowany!

      Dlaczego? Bo informacje tam zawarte były jeszcze dokładniejsze i umożliwiły dostęp do niezabezpieczonego serwera. Takich informacji nie będziemy publikować.

      Fakt, powinno to być zrobione tak jak tutaj czyli informacje co się stało ale ze względu na ryzyko temat został ukryty. Bo była to noc/wczesny ranek.

    • Bartuś, każdy zainteresowany dobrze wie, że mniejsze firmy mają mniejsze przywileje.

      Ale, ofc nie mam do nikogo pretensji (raczej o to, że wciszkasz kit że na wht jest cud miód), prawa rynku, większy ma lepiej, bo ma kase, prawników i zajmomości :>

  4. Sptint a nie Spring ;)

    • Przyganiał kocioł garnkowi, a sam smoli. ;)
      “Sprint a nie Spring”

    • “Sprint”, a nie “Spring” ;p

    • Sprite a nie Sprint

  5. No niestety ta serwerownia to nie do końca daje sobie radę. Moja firma ich chciała wybrać ale to jakaś porażka strasznie zarozumiali i zupełnie dziwni ludzie a do tego oferta zupełnie oderwana od realiów rynkowych brak mechanizmów umożliwiających partnerską współpracę. Wszystko na telefon ale żeby jeszcze te telefony odbierali. Rynkowo to oni sobie zupełnie nie radzą ale jeśli chodzi o przetargi …. uuuu tym się ktoś może powinien zająć tu są dopiero jaja :-)

    • czy uważasz, że województwo warmińsko-mazurskie ma na pieńku z Transparency International?

  6. Na wht.pl ja opublikowałem po tym jak otrzymałem email od znajomego o tym linku ( jako klient zadzwoniłem do SDC) i po podaniu pinu i rozmowie z administratorem po prostu olali temat. Powiedzieli iż wiedzą i tak dalej i dalej a serwer jak był tak działał w sieci .
    Rano mój wątek został usunięty z wht ;) przez administracje.

  7. Proszę nie łączyć mnie publikującego na wht z osobą która dokonała odkrycia tego zdarzenia i opublikowała na Pastebin.com

  8. To se teraz konkurencja będzie używać, cudawianki wymyślać… już widzę życzliwą troskę o ich niekonkurencyjność oferty – no fakt, nie mają z tego co widzę profesjonalnych serwerów dedykowanych za 39.99 brutto dla wymagających klientów…

  9. 5 “gości” się podpięło. Zapewne nigdy sie nie przyznają ilu faktycznie się tam dopięło. Najbardziej w tej sprawie boli fakt ich stanowiska – ok, wiemy, ale host nadal sobie żyje. Z tego co słyszałem, zgłoszenie poszło, a host jeszcze przez parę godzin był dostępny. No i ciekawe co na to GDDKiA – w końcu ich ten cały portal był legalnie (bo jak to inaczej nazwać) do pobrania. Nie wliczając faktów, że reszta jak ich strona, dostęp do skrzynki pocztowej, czy dostęp do ID/pass w Dotpay było wystawione do publiki.

  10. @Bartek zgadzam się trochę szybko podałem link dobrym wyjściem było by go edytowanie i skleić rozmowy na wht w jedną całość , z drugiej strony troche irytacji z mojej strony zachowaniem administratora dyżurnego ja pisałem do nich ok 23.20 a kwadrans pózniej dzwoniłem ( że tak powiem olali temat ) marek z BH dzwonił o 1 w nocy ( jak pisał ) i dopiero serwer wyłączyli więc gdzie profesjonalizm aby chociaż sprawdzić wiadomość którą dostali z dokładnym opisem z mojej strony.

  11. Hehe, pod Krakowem też jest taka jedna firma na P, która hostuje serwery agencjom rządowym, a wszystko jest otwierane bardzo prostą kombinacją cyfr, na którą każdy wpadnie, a system identyfikacji wizualnej można oszukać zdjęciem.

  12. ja bym nie przesadzał z tymi atakami czemu wskakujecie na SPRINTA? to dobra firma, takie sytuacje mogą się podziać w innych serwerowniach i ile takich przypadków było nikt nie wie -wszędzie są ludzie a czasem zwyczajnie złośliwi. ja sądzę, że ktoś prywatne wycieczki tu organizuje i rozdmuchał temat zupełnie bez sensu. to bardzo nowoczesna serwerownia mamy tam serwery i polecam. a że z ludźmi można się czasami poszarpać? też się szarpiemy ale to nie zmienia naszego ogólnego obrazu tej firmy. polecamy do współpracy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: