23:31
1/7/2012

Krótko po podmianie strony Roberta Lewandowskiego, grupa JurassicSec najpierw opublikowała bazę danych użytkowników i dziennikarzy zarejestrowanych w serwisie korona-kielce.pl, a potem podmieniła treść strony T-Mobile Ekstraklasy – ekstraklasa.org

korona-kielce.pl hacked

Jeśli chodzi o oficjalny serwis drużyny Korona Kielce (korona-kielce.pl), to do internetu wyciekły następujące dane:

  • 2000 rekordów dot. fanów/użytkowników serwisu
    (imię, nazwisko, płeć, data urodzenia, wykształcenie/zawód, hasło *jawnym tekstem*, e-mail, numer karty, adres zamieszkania, adres IP, numer telefonu)
  • 300 rekordów akredytowanych dziennikarzy
  • baza akredytowanych pojazdów z rejestracjami i markami
  • 7300 adresów e-mail z newslettera
korona-kielce baza hacked

korona-kielce.pl - baza danych upubliczniona w internecie

Jeśli posiadaliście konto na tym serwisie i korzystacie z hasła do niego w jakimkolwiek innym miejscu w sieci, to natychmiast je zmieńcie. Hasła przechowywane są w formie jawnego tekstu, a zatem amatorzy łatwych danych nie muszą tracić czasu na ich łamanie.

ekstraklasa.org hacked

Jeśli zaś chodzi o serwis ekstraklasa.org, będący oficjalną stroną T-Mobile Ekstraklasy S.A., to atakujący podmienili jego zawartość.

ekstraklasa.org hacked

ekstraklasa.org (i nie tylko) hacked

ekstraklasa.org hacked

ekstraklasa.org hacked: Nie wszystko zostało jeszcze przywrócone (fot. Wykop.pl)

Oba serwisy – i ekstraklasa.org i korona-kielce.pl są hostowane w tej samej firmie – hostings.pl:

$ host ekstraklasa.org
ekstraklasa.org has address 91.219.209.47
47.209.219.91.in-addr.arpa domain name pointer serv73.hostings.pl.

$ host korona-kielce.pl
korona-kielce.pl has address 91.219.210.31
31.210.219.91.in-addr.arpa domain name pointer serv76.hostings.pl.

Informację o ww. włamaniach podesłał Roman oraz Dariusz Nowak.

Aktualizacja 02.07.2012
Wydaje się, że atak może być poważniejszy niż tylko wyciek danych osobowych – jak podają użytkownicy serwisu korona-kielce.pl:

przy logowaniu do FORUM podawało się dane KARTY kibica która jest jednocześnie KARTĄ DEBETOWĄ!!!!!

Przedstawiciele klubu twierdzą jednak inaczej, że dane te są bezpieczne. Być może były przechowywane w innych niż zaatakowane systemach.

Kielecka Gazeta Wyborcza opublikowała oświadczenie klubu Korona Kielce oraz firmy Hive Sport & Media odpowiedzialnej za utrzymanie serwisu. Sprawa została także zgłoszona na Policję.

Przeczytaj także:

48 komentarzy

Dodaj komentarz
  1. Nie wiem jakim pacanem trzeba być żeby trzymać hasła takiej aplikacji w postaci tekstu…

  2. jaka gra -takie zabezpieczenia.

    • chcesz powiedziec ze tylko 4 ekipy w Polsce maja lepsze zabezpieczenie od korony kielce?

    • raczej że polska liga ma słaby poziom

  3. Mam wrażenie, że aplikacje są coraz częściej pisane przez szwagrów pracujących w szkole jako informatycy. Opanują kilka samouczków php, mysql i do dzieła.
    Przez kilka lat współtworzyłęm i administrowałem jeden z większych portali katolickich w Polsce. Oczywiście do czasu, kiedy to na doczepkę przyszedł ksiądz programista. Po dwóch miesiącach moja dwuletnia, wręcz pedantycznie wykonana praca została wykasowana i zastąpiona skryptami żywcem wziętymi z kursów Pawła Wimmera. True Story.

    • Masz coś do skryptów made by Paweł Wimmer? :)

    • A to dlatego, że na rynku ciągle oferuje się stawki poniżej rynkowych. Dobry człowiek od stron (bo nie przejdzie mi “programista” PHP przez klawiaturę) nie będzie robił dużego projektu za 100, 300 czy 500 zł, bo niestety coraz częściej widuję takie stawki w ogłoszeniach.

    • Bo ten rynek jest zepsuty. Kazdy gimbus po paru tutorialach i zajęciach z informatyki gdzie robią pseudo stronę. Zaraz zwietrzy łatwą kasę. Rynek zawalony jest takimi ogłoszeniami. Potem jak profesjonalista przedstawia ofertę i padaja kwoty 1000+ za stronę wizytówko wą firmy to się robi wielkie OOOccz…. i bierze siostrzeńca szfagra młodszej siostry… który zrobi jakąś ulepe za “piwo i fajki”.

    • AVE…

      A pamięta ktoś jeszcze czasy, gdy strony były tylko w HTML, bez jakichś idiotycznych baz danych i PHP?
      BTW, nie musiałeś na serwerze umieścić pentagramu jakiego czy koźlej czaszki? Jak byłem na uczelni katolickiej, to mieliśmy często problemy z komputerami i “skomputeryzowanymi” windami. Dopóki nie zasugerowałem kilku “ozdobników”. Bo kiedyś pewien katolicki głos w naszych domach powiedział, iż komputery to dzieło szatana, i to prawda. Zbyt uświęcona atmosfera i technika nawala… :D

    • @MrMgr
      Rynek nie jest zepsuty. Jak w ogóle można zepsuć rynek? Tu działają normalne prawa popytu i podaży (ok, w przybliżeniu, bo nigdzie nie ma sytuacji jak z podręcznika mikroekonomii ;)). Skoro ktoś chce kupić produkt za 300 zł to go kupi i znajdzie się taki co mu taki produkt zrobi. W efekcie klient za 300zł dostaje stronę wartą 300zł.

      Po prostu w tej branży nie ma odgórnych regulacji (i oby tak było po wsze czasy!), nie trzeba bzdurnych certyfikatów, zbędnych papierów, uprawnień. Każdy może się podjąć zlecenia. Dzięki temu mamy konkurencję i szeroki dostęp do usług o przeróżnej jakości. Jeśli klient jest leniwy, albo skąpy i nie chce poświęcić ani czasu ani pieniędzy na znalezienie solidnego wykonawcy to jego problem.

      Jeśli robisz coś dobrze to znajdziesz klienta, który za tą dobrą pracę zapłaci (chociaż pewnie się za 1 razem przejedzie kupując stronę za 300zł).

    • @jam Nie mam nic do kursów Pawła Wimmera, sam się kiedyś z nich uczyłem i uważam je za najlepsze dla początkującego. Mam jednak wrażenie, że 3/4 twórców stron internetowych nie poszła dalej niż wiedza w tych kursach zawarta. Wielkie web-developery zabierają się za tworzenie stron, a nie wiedzą co to .htaccess, przyjazne url, nie mówię już nawet o SEO.

    • Do tego każdy ma swoją kalkulację. Może mu się opłaca zapłacić 300 zł, zamiast 3000 zł, i te 2700 wydać na coś innego. (Na przykład na innego gimbusa, który mu coś-tam poustawia na komputerze).

    • Bóg za złe każe, a za dobre wynagradza – co podskakujesz, gnoju, do autorytetu, ujawniając wiarę w logikę układów scalonych???

    • @@MrMgr
      Coś mi się zdje, że ataki zwłaszcza na słabiej zabezpieczone serwisy zbliżają nas do certyfikowania web developerów, ale także narzędzi IT służących do budowania serwisów (mam na myśli walidację kodu pod kątem likwidacji błędów w kodzie, wykrywania obecności niezaszyfrowanych baz danych itp.). Człowiek nie jest przecież w stanie zbudować rozbudowanego portalu (od biedy był w stanie klepać kod prostych stron HTML, ale to na pewno nie jest proste i przyjemne) i korzysta z sytemu CMS automatycznie budującego kod strony o zadanych parametrach. Ten system też musi być wysokiej jakości i sam wykrywać oraz naprawiać błędy typu nieszyfrowane bazy danych na serwerze, zbyt proste i/lub dawno nie zmieniane hasło admina do serwera itp.

    • @krpablo: programista PHP to programista jak każdy inny, przecież PHP jest językiem programowania. Long live the butthurt.

    • A, tam, przesadzasz – pan Bóg nad tym czuwa. (-:

  4. Nudzi się im , zamiast zając się ujawnianiem milionowych przekrętów w rządzie bawią się wkurzając kibiców …

    • Bo takie wkurzanie zwykłych ludzi jest łatwiejsze od zdobycia dowodów na prawdziwe przekręty.

    • ++

  5. Dziecinada.

  6. Bardzo dobrze, że się włamują, w ten sposób częściowo uzdrawiają rynek, o którym dyskusja w podwątku powyżej. Kilka włamów i zleceniodawcy może pójdą po rozum do głowy i zatrudnią do zrobienia serwisu kogoś, kto ogarnia.

    • Skończy sie tak, że będą mieli sprawy za włamania na strony, natomiast rynek oparty na zdobywaniu pracy po znajomości (nie mylić z rekomendacjami) nie uzdrowi się tak szybko, choć takie akcje owo uzdrowienie pewnie przyśpieszą. Z drugiej strony rosnący brak zaufania użytkowników i pewien nacisk społeczny zmusi do zmiany podejścia do tworzenia serwisów internetowych w kierunku przedkładania profesjonalizmu nad niskie koszty i tolerowanie uchybień typu baza danych w jawnym tekście. Po prostu droższy, ale lepiej zrobiony serwis okaże się bardziej opłacalny od taniego, ale z lukami bezpieczeństwa. Oby admini serwisów zrozumieli to przed atakiem.

    • Tylko kto będzie weryfikował czy dana osoba się nadaje czy nie skoro na najwyższych stanowiskach siedzą osoby, których poza pomnażaniem majątku nic nie interesuje. Dzisiaj coraz więcej firm funkcjonuje w oparciu o 3 miesięczne darmowe staże i tak cały rok zmieniani są pracownicy (i to bardzo duże firmy z których tworami spotykamy się na co dzień)

    • @Justifix
      Wpływ takiego oszczędzania kosztów pracy właśnie widzimy. Z drugiej strony składki na ZUS są wyższe niż do jego odpowiednika np. w UK i to tłumaczy taką złą dla bezpieczeństwa i jakości strategię firm.

  7. Po prostu trzymanie takich danych w jawnym tekście jest wręcz przestępstwem przeciwko tym danym. Kibice Korony mają pełne prawo podać ją za zaniedbania do sądu, choć mało komu będzie się chciało. Jest też kolejny wniosek: mianowicie nie należy się bezmyślnie rejestrować w serwisach bez wyraźnej konieczności. Cóż pożądne wykonanie serwisu kosztuje a w dobie oszczędności zatrudnia się ludzi, którzy co prawda umieją stworzyć stronę, ale o bezpieczeństwie już zapomnieli bo to dodatkowa praca wymagająca też narzedzi i umiejętnosci w dziedzinie choćby szyfrowania baz danych.

  8. W zrzucie bazy który wczoraj wyciekł w miejscu haseł były hashe, więc jak hasła mogłbyć przechowywane jawnym tekstem jeśli zrzut mówi co innego?

  9. Dlaczego jeszcze Policja i Prokuratura pozwala tej grupie hackerskiej działać?

    • Bo korzystają z TOR-a.

    • Mi się wydaje, że Policja i Prokuratura nie pozwala, tylko ta grupa hackerska ma w rzyci co sądzi Policja i Prokuratura o ich działaniach.

    • Pewnie do zdelegalizowania TOR-a w Polsce coraz bliżej (np. ISP mogą mieć nakaz blokowania ruchu zdradzającego korzystanie z TOR-a i podobnych narzędzi). Władze nie pozostaną bierne wobec ataków i po prostu ograniczą wolność internautów argumentując to koniecznością zapewnienia bezpieczeństwa. ACTA nie przeszła, ale każdy kolejny atak przybliża do wprowadzenia ograniczeń. Poza tym władzom może po prostu już nie zależeć na dalszym upowszechnianiu dostępu do internetu, skoro młodzież zaczęła ją atakować (protesty anty-ACTA). Mam na myśli możliwe ograniczenie finansowania rozbudowy infrastruktury nternetowej na terenach słabo rozwiniętych, zaklepane już wycofanie ulgi internetowej (swoją drogą to lepsze od podwyżki VAT) itp. Oczywiście chętni do wandalizmu głównie młodzi ludzie takich rzeczy nie analizują, ale naiwnością jest sądzenie, że na ataki nie bedzie żadnej odpowiedzi. Z czasem nawet wprowadzenie cenzury i kontroli przepływu informacji przeciwko czemu teraz wszyscy protestują spotka się z poparciem części społeczeństwa a zwłaszcza ofiar ataków, oszóstw internetowych itp. Innym wyjściem jest po prostu podwyższenie różnych opłat np. zanikanie darmowych kont pocztowych, kont w serwisach społecznościowych itp. Argumentem będą oczywiście nakłady ponoszone na bezpieczeństwo danych, ale też za jakiś czas rządy różnych krajów mogą wprowadzić różne wymagania z założenia podwyższające bezpieczeństwo zmuszające serwisy internetowe do inwestycji, które dotychczas nie były konieczne (np. audyty security, certyfikaty, obowiązkowe szkolenia adminów itp.).

      Ciekaw jestem jak wygląda edukacja młodzieży uświadamiająca prawne następstwa popełniania przestępstw w internecie, na ile nauczyciele informatyki i policja uświadamia te rzeczy. Tor torem, ale zawsze może dojść do wydania członków przez kogoś z takiej grupy hakerskiej zatrzymanego przez policję, niekiedy w zupełnie innej sprawie.

    • Może to Pan Piotr K. stoi za tymi włamaniami/podmianami :)

    • AVE…

      @Paweł Nyczaj…

      Informatycy w szkołach nie mają czasu na takie pogadanki. Ten, który uczył mnie w dobie pierwszych procesorów Pentium połowę czasu spędzał na redagowaniu pięknych dokumentów dla dyrekcji. Drugą połowę spędzał na pokazywaniu co głupszym matołom, jak działa Word i Excel. Niby nauczyciel WOSu powinien mówić o takich rzeczach, jak prawo i konsekwencje jego łamania, ale przez większość czasu zajmowaliśmy się tylko strukturami władzy i niczym więcej. Teraz dzięki reformom jest jeszcze gorzej pod tym względem…

      Zresztą zapraszam na jakiekolwiek duże forum dyskusyjne, zwłaszcza pirackie. Bluzgi, wycieczki osobiste, bełkot o tym, kto jaki ma kolor bielizny, i do kogo się modli to norma. Każdy zbanowany “dyskutant” wraca w ciągu jednej godziny bo administracja za mało rozgarnięta by banować multikonta (nie wpadli na to by pobierać numery MAC swoich użyszkodników, hashować je skutecznie i porównywać każdego nowego użyszkodnika z listą zbanowanych hashy), dyskusje idiotów z matołami ciągną się jak w usenecie kiedyś, tylko więcej wycieczek osobistych, bo się nie boją. Fora nie trzymają ich IP, policja nie może nic zrobić, a dzieciarnia czuje się bezkarna. To samo z forami partyjnymi, i różnych powalonych organizacji. A jak ktoś przeholuje i faktycznie zostanie oskarżony o choćby zniesławienie, podżeganie do nienawiści czy popełnienia czynu przestępczego, to potem jest wielce zdziwiony, iż go złapano i mu grozi solidna kara za taki “drobiazg”. Rodzice takiego dzieciaka też są zdziwieni, bo przecież nic takiego nie zrobił. Nawet nie wiedzą, iż ich kochany, grzeczny i pilny synek, co by muchy nie skrzywdził ściąga z netu przepisy na materiały wybuchowe jedną ręką, drugą zaś namawiając do wymordowania każdego, kto nie jest Prawy i Sprawiedliwy, ultra-patriotyczny, biały i katolicki(true story)…

  10. Sam TOR pozwala im zachować całkowitą anonimowość ?? Wydaje mi się, że na takie akcje powinni używać ze 2x VPN + TOR. Wtedy możemy mówić o trudności w wykryciu grupy.

    • Jeżeli wg Ciebie TOR nie zapewnia anonimowości, to te 2xVPN też różnicy nie zrobią.

    • No masz rację, wydaje Ci się. Co więcej użycie vpn’a jako exit node’a w większości przypadków jednoznacznie zdradzi Twoją tożsamość…

    • Carderzy używają Quad VPN.

  11. arka gdynia i polonia warszawa kolejne…

  12. sami sobie pozwolili:P
    hasła jawnym…. to trza być ignorantem żeby coś takiego nakodzić

  13. Dzięki za odpowiedzi ;) W takim razie miałem stare informacje heh.

  14. http://ekstraklasa.org/index.php już działa.

  15. http://korona-kielce.pl/ także już działa.

  16. Słuchajcie niehaszowanie haseł to jedno, a włamanie to drugie. Czy coś wiadomo jaka luka bezpieczeństwa pozwoliła na dostęp do tych danych?

    A pozatym czy macie jakiś sposób czy stosujecie jakieś rozwiązania, które zapewniają nieczytelność/utrudnienie w odzytaniu pozostałych pól? Sam wyciek nazwisk i emaili już jest niedopuszczalny, nie tylko haseł.

  17. Gdzie można znaleźć tą bazę z Korony?

  18. @Paweł Nyczaj “Pewnie do zdelegalizowania TOR-a w Polsce coraz bliżej (np. ISP mogą mieć nakaz blokowania ruchu zdradzającego korzystanie z TOR-a i podobnych narzędzi)” Jestem ciekaw jakim sposobem miało by być to załatwione, raz od strony technicznej a dwa prawnej prawnej . Nawed jak by jakimś dziwnym trafem udało by się zablokować projekt TOR to przypominam ze sa jeszcze botnety gdzie po dupie dostana boga ducha wini ludzie.
    „Ciekaw jestem jak wygląda edukacja młodzieży uświadamiająca prawne następstwa popełniania przestępstw w internecie, na ile nauczyciele informatyki i policja uświadamia te rzeczy” Moim zdanie nie uświadamia i wydaje mi się że w dzisiejszych czasach uczniowie więcej potrafią zrobić z informatyki niż ich nauczyciele.

  19. http://lewandowskirobert.com/pl2/ też już działa. Jednak nadal jest to full flash a szkoda, bo od Flasha stopniowo się odchodzi na rzecz HTML5.

  20. […] dni aktywnie “zaskakuje” nas świeżymi danymi. Celem Jurassic Sec padły ostatnio popularne polskie kluby sportowe, a dziś Telekomunikacja […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.