11:32
16/7/2016

* Kradzież 2 mlionów e-maili z forum Ubuntu

Autor: Piotr Konieczny | Tagi:  

Przez SQL injection ktoś wyciągnął loginy i adresy e-mail oraz adresy IP 2 milionów użytkowników forum Ubuntu. Haseł nie udało się pozyskać, ponieważ w tabeli “users”, którą skopiował atakujący były tylko losowe ciągi znaków z racji tego, że Ubuntu korzysta z mechanizmu Single Sign On.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

23 komentarzy

Dodaj komentarz
  1. iii 2016.07.16 12:53 | # | Reply

    nie pamietam jakiego tam mialem maila, ale w tak “waznych” miejscach jak fora korzystam z hasla typu password123, wiec jak chca to moge im je podac ;-)

    • vucalur 2016.07.17 21:46 | # |

      Podejście godne profesjonalisty

    • michau 2016.07.19 12:50 | # |

      @vucalur

      A co w tym złego? ja na forach rejestruje sie z mailem z niepodam.pl i hasłem dupa.8 wlasnie dlatego, ze nei mam zaufania do bezpieczenstwa danych, a tak moga sobie te dane krasc, na zdrowie mnie QQ nie zrobią.

  2. rpdshr 2016.07.16 12:55 | # | Reply

    Hmmm… ale którego forum?

  3. Niezarejestrowany 2016.07.16 16:19 | # | Reply

    Jakiego forum? Oficjalnego, polskiego, angielskiego?

  4. Zdezorientowany 2016.07.16 16:35 | # | Reply

    I jeśli miało się tam kiedyś konto to jak teraz żyć? Nie bardzo rozumiem działanie Single Sign On i jak to się przekłada na zagrożenia związane z takim wyciekiem?

  5. Frozen 2016.07.16 18:35 | # | Reply

    2 miliony adresów e-mail to też spora kasa. :)
    BTW… I jak tu ufać najbezpieczniejszemu-ewer-systemowi jeśli jego “support” daje się hackować w taki sposób? ;)

  6. Ja 2016.07.16 21:34 | # | Reply

    2 mln emaili to powiedzmy sobie nie duzo i nie malo. Gdyby to bylo 2mln adresow z portali randkowych czy ‘rozowych stron’ to sprzedawcy ‘prawie jak viagry’ ozlocili by takiego dostawce. 2mln emaili ludzi ktory unixuja w wersji light? Co im mozna sprzedac? Windows 10? ROTFL!

    • a 2016.07.17 21:02 | # |

      “zaplac mi 0.2 bitcoina, albo powiem wszystkim twoim znajomym ze uzywasz ubuntu i bedziesz mial obciach”

    • Tomek 2016.07.17 23:17 | # |

      unixują w wersji light? WTF

  7. Pegazior 2016.07.17 09:41 | # | Reply

    Wstyd jak cholera, ale człowiek zawsze popełni błąd wcześniej czy pozniej. A tu czego są pewni a w co wierzą :D
    http://betanews.com/2016/07/15/ubuntu-linux-forums-hacked/

  8. SuperTux 2016.07.17 23:34 | # | Reply

    Jak to dobrze, że używam openSuSE a nie ubuntu… Ubuntu ma praktycznie taki sam poziom bezpieczeństwa jak Windows. Trochę większy, z racji tego, że to Linux, ale nadal tragiczny w porównaniu z innymi dystrybucjami.

    • pe 2016.07.18 19:39 | # |

      chyba żartujesz…na wielu konferencjach / zlotach w łamaniu systemów ubuntu zajmowało pierwsze miejsca. A może o czymś nie wiem? W takim razie proszę o linki gdzie piszą o tym tragicznym poziomie bezpieczeństwa.

    • SuperTux 2016.07.18 22:52 | # |

      A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota, co powoduje że byle pani Kasia z księgowości może zainstalować linuksowego rootkita dającego dostęp do całego systemu i potencjalnie firmowej sieci. W openSuSE jak nie znasz hasła roota to se niczego nie zainstalujesz (=nie napsujesz), tylko uruchomisz to co już w systemie masz.

    • JdG 2016.07.19 10:07 | # |

      @SuperTux (A chociażby debilnie skonfigurowane sudo chcące hasła aktualnie zalogowanego użytkownika zamiast hasła roota):

      raczej nie aktualnie zalogowanego, tylko 1. użytkownika (to standardowo ten, który instalował system); normalnego użytkownika to trzeba dopiero dopisać do grupy sudo (co może zrobić tylko ów 1. użytkownik). Tak przynajmniej jest w Lx Mint, który jest klonem Ubuntu.
      Zatem “byle pani Kasia z księgowości” musiałaby najpierw sobie tego Ubuntu samodzielnie zainstalować.

      Nb. takie uprzywilejowanie użytkownika instalującego system stosowane jest też w innych dystrybucjach (Arch np.) a inne (np. OpenSUSE) umożliwiają standardowo przy instalacji zakładanie konta automatycznie (bez passwordu) logującego do systemu.

    • SuperTux 2016.07.22 18:48 | # |

      A to mnie już nie obchodzi czy pierwszy czy ostatni czy dwudziesty piąty. Jest specjalny użytkownik od nieskrępowanego dostępu do bebechów systemu. Imię jej Root. A $HOME to /root. Standardy są po to aby ich przestrzegać, co do joty. Jak standard określa, że niesubordynowani pracownicy mają być zrzucani z mostu, to niesubordynowani pracownicy mają być zrzucani z mostu. Jak standard określa, że menu z opcjami kopiuj/wytnij/wklej ma się nazywać Eydtuj, to ma się nazywać Eydtuj. To nic że to literówka, ma się nazywać Eydtuj, bo tak mówi standard.

      Root jako totalny admin systemów uniksowych i uniksopodobnych jest standardem. Nie zmieniasz standardu, robisz wszystko pod linijkę zgodnie ze standardem. Chcesz zmienić standard? Musisz mieć komitet złożony z co najmniej 50 osób z całego przemysłu który używa tego standardu.

      A tak na serio, to Ubuntu głupio robi. Sytuacja podobna jak gdy Microsoft nie chcąc dobrego i sprawdzonego (na tamte czasy) NPAPI od Netscape wymyślił swoje głupie dziurawe ActiveX. Albo gdy zamiast wsparcia ODF w Office wymyślili swój debilny OOXML. To jest błąd tego kalibru, który zmniejsza bezpieczeństwo Ubuntu, bo nie musisz znać hasła roota żeby shackować szefa, wystarczy znać hasło szefa (Uh-oh, chyba to samo jest w Windowsie, a Linuksa się używa jak nie chce się używać dziurawych okien, nie?)

    • Ag3ntJ23 2016.07.29 00:14 | # |

      #SuperTux
      Przez lata, zanim przeszedlem na Kali, bylem uzytkownikiem Ubuntu i nigdy nie mialem problemu by niepowolany uzyszkodnik dostal sie do root. Zapewniam cie iz kazda dystrybucja ma swoje plusy i minusy, ale to nie prawda iz Ubuntu ma taki sam poziom bezpieczenstwa jak windows (moze jeszcze windows Me)…

  9. pronciewicz 2016.07.19 08:58 | # | Reply

    Wszyscy _niezaintersowani_ od razu wielki _fuj_ na linuxa, że jakie zabezpieczenie forum takie zabezpieczenia systemu, że to że tamto ale prawda jest taka że na SQL Injection był podatny vBulletin a nie Ubuntu.

    • mindc 2016.07.24 21:13 | # |

      Szkoda że tej informacji zabrakło w treści artykułu, wtedy komentarze byłyby zupełnie inne :)

    • Ag3ntJ23 2016.07.29 00:18 | # |

      #Dante
      Kompletna zgoda

  10. Dante 2016.07.19 15:48 | # | Reply

    To już wiem skąd nagle tyle napalonych kobiet w mojej okolicy bombarduje mojego maila

    • Ja 2016.07.19 22:19 | # |

      Trzeba bylo golych d*p nie oglasdac po nocach tylko przytulic zone. Troche roboty i 500+ w reku ;)

    • Ag3ntJ23 2016.07.29 00:19 | # |

      #Dante
      Kompletna zgoda

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: