11:32
16/7/2016

* Kradzież 2 mlionów e-maili z forum Ubuntu

Przez SQL injection ktoś wyciągnął loginy i adresy e-mail oraz adresy IP 2 milionów użytkowników forum Ubuntu. Haseł nie udało się pozyskać, ponieważ w tabeli “users”, którą skopiował atakujący były tylko losowe ciągi znaków z racji tego, że Ubuntu korzysta z mechanizmu Single Sign On.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

23 komentarzy

Dodaj komentarz
  1. nie pamietam jakiego tam mialem maila, ale w tak “waznych” miejscach jak fora korzystam z hasla typu password123, wiec jak chca to moge im je podac ;-)

    • Podejście godne profesjonalisty

    • @vucalur

      A co w tym złego? ja na forach rejestruje sie z mailem z niepodam.pl i hasłem dupa.8 wlasnie dlatego, ze nei mam zaufania do bezpieczenstwa danych, a tak moga sobie te dane krasc, na zdrowie mnie QQ nie zrobią.

  2. Hmmm… ale którego forum?

  3. Jakiego forum? Oficjalnego, polskiego, angielskiego?

  4. I jeśli miało się tam kiedyś konto to jak teraz żyć? Nie bardzo rozumiem działanie Single Sign On i jak to się przekłada na zagrożenia związane z takim wyciekiem?

  5. 2 miliony adresów e-mail to też spora kasa. :)
    BTW… I jak tu ufać najbezpieczniejszemu-ewer-systemowi jeśli jego “support” daje się hackować w taki sposób? ;)

  6. 2 mln emaili to powiedzmy sobie nie duzo i nie malo. Gdyby to bylo 2mln adresow z portali randkowych czy ‘rozowych stron’ to sprzedawcy ‘prawie jak viagry’ ozlocili by takiego dostawce. 2mln emaili ludzi ktory unixuja w wersji light? Co im mozna sprzedac? Windows 10? ROTFL!

    • “zaplac mi 0.2 bitcoina, albo powiem wszystkim twoim znajomym ze uzywasz ubuntu i bedziesz mial obciach”

    • unixują w wersji light? WTF

  7. Wstyd jak cholera, ale człowiek zawsze popełni błąd wcześniej czy pozniej. A tu czego są pewni a w co wierzą :D
    http://betanews.com/2016/07/15/ubuntu-linux-forums-hacked/

  8. Jak to dobrze, że używam openSuSE a nie ubuntu… Ubuntu ma praktycznie taki sam poziom bezpieczeństwa jak Windows. Trochę większy, z racji tego, że to Linux, ale nadal tragiczny w porównaniu z innymi dystrybucjami.

    • chyba żartujesz…na wielu konferencjach / zlotach w łamaniu systemów ubuntu zajmowało pierwsze miejsca. A może o czymś nie wiem? W takim razie proszę o linki gdzie piszą o tym tragicznym poziomie bezpieczeństwa.

    • A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota, co powoduje że byle pani Kasia z księgowości może zainstalować linuksowego rootkita dającego dostęp do całego systemu i potencjalnie firmowej sieci. W openSuSE jak nie znasz hasła roota to se niczego nie zainstalujesz (=nie napsujesz), tylko uruchomisz to co już w systemie masz.

    • @SuperTux (A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota):

      raczej nie aktualnie zalogowanego, tylko 1. użytkownika (to standardowo ten, który instalował system); normalnego użytkownika to trzeba dopiero dopisać do grupy sudo (co może zrobić tylko ów 1. użytkownik). Tak przynajmniej jest w Lx Mint, który jest klonem Ubuntu.
      Zatem “byle pani Kasia z księgowości” musiałaby najpierw sobie tego Ubuntu samodzielnie zainstalować.

      Nb. takie uprzywilejowanie użytkownika instalującego system stosowane jest też w innych dystrybucjach (Arch np.) a inne (np. OpenSUSE) umożliwiają standardowo przy instalacji zakładanie konta automatycznie (bez passwordu) logującego do systemu.

    • A to mnie już nie obchodzi czy pierwszy czy ostatni czy dwudziesty piąty. Jest specjalny użytkownik od nieskrępowanego dostępu do bebechów systemu. Imię jej Root. A $HOME to /root. Standardy są po to aby ich przestrzegać, co do joty. Jak standard określa, że niesubordynowani pracownicy mają być zrzucani z mostu, to niesubordynowani pracownicy mają być zrzucani z mostu. Jak standard określa, że menu z opcjami kopiuj/wytnij/wklej ma się nazywać Eydtuj, to ma się nazywać Eydtuj. To nic że to literówka, ma się nazywać Eydtuj, bo tak mówi standard.

      Root jako totalny admin systemów uniksowych i uniksopodobnych jest standardem. Nie zmieniasz standardu, robisz wszystko pod linijkę zgodnie ze standardem. Chcesz zmienić standard? Musisz mieć komitet złożony z co najmniej 50 osób z całego przemysłu który używa tego standardu.

      A tak na serio, to Ubuntu głupio robi. Sytuacja podobna jak gdy Microsoft nie chcąc dobrego i sprawdzonego (na tamte czasy) NPAPI od Netscape wymyślił swoje głupie dziurawe ActiveX. Albo gdy zamiast wsparcia ODF w Office wymyślili swój debilny OOXML. To jest błąd tego kalibru, który zmniejsza bezpieczeństwo Ubuntu, bo nie musisz znać hasła roota żeby shackować szefa, wystarczy znać hasło szefa (Uh-oh, chyba to samo jest w Windowsie, a Linuksa się używa jak nie chce się używać dziurawych okien, nie?)

    • #SuperTux
      Przez lata, zanim przeszedlem na Kali, bylem uzytkownikiem Ubuntu i nigdy nie mialem problemu by niepowolany uzyszkodnik dostal sie do root. Zapewniam cie iz kazda dystrybucja ma swoje plusy i minusy, ale to nie prawda iz Ubuntu ma taki sam poziom bezpieczenstwa jak windows (moze jeszcze windows Me)…

  9. Wszyscy _niezaintersowani_ od razu wielki _fuj_ na linuxa, że jakie zabezpieczenie forum takie zabezpieczenia systemu, że to że tamto ale prawda jest taka że na SQL Injection był podatny vBulletin a nie Ubuntu.

    • Szkoda że tej informacji zabrakło w treści artykułu, wtedy komentarze byłyby zupełnie inne :)

    • #Dante
      Kompletna zgoda

  10. To już wiem skąd nagle tyle napalonych kobiet w mojej okolicy bombarduje mojego maila

    • Trzeba bylo golych d*p nie oglasdac po nocach tylko przytulic zone. Troche roboty i 500+ w reku ;)

    • #Dante
      Kompletna zgoda

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.