22:46
18/3/2015

Na naszą redakcyjna skrzynkę napisała osoba, która twierdzi, iż jest w posiadaniu bazy danych serwisów:

    – anonse.gejowo.pl
    – fellow.pl
    – frixx.eu
    – allechlopak.pl
    – fellow.cz
    – gejowo.pl
    – play4men.pl (synthcell)

E-mail do nas, co ciekawe, ma być wynikiem zignorowania włamywacza przez właściciela ww. serwisów (część z nich to sklepy internetowe). Włamywacz 2 dni temu zaszantażował bowiem (bezskutecznie) firmę Rainbownet.pl; domagał się 5 Bitcoinów za skasowanie wykradzionych danych, ale został zignorowany.

Oto wiadomość od włamywacza do nas:

Szkoda mi poprostu tych wszystkich biednych userow z serwisów spolecznosciowych oraz sklepow którzy napewno by nie chcieli aby ich dane (fotki , korespondencja , dane kontaktowem , hasła) zostały udostępnione publicznie. Więc PROSZĘ o ostrzeżenie ludzi przed serwisami Pana Rafała (…) dla ktrórego nie ważni są ludzie , tylko kasa która od nich pobiera , ale dac od siebie to nic….

Oraz wiadomość jaką włamywacz wysłał do firmy Rainbownet:

——– Original Message ——–
Subject: Pilne – BEZPIECZENSTWO
Date: 2015-03-16 22:33
To: office@rainbownet.pl

Witam.
Jestem w posiadaniu calej Pastwa bazy sql oraz plikůw z serwisůw:
– anonse.gejowo.pl
– fellow.pl
– frixx.eu
– allechlopak.pl
– fellow.cz
– gejowo.pl
– play4men.pl (synthcell)
i kilka jeszcze istotnych plikůw.

OczekujÍ do dnia 18 marca 2015 wp≥aty w wysokoúci 5 BTC (bitcoin) na
adres: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

W przeciwnym razie zmuszony bÍdÍ do udostÍpnienia wszystkich plikůw jak i skryptůw, danych uŅytkownikůw (z has≥ami)
oraz danych osobowych w sieci (TOR, facebook, twitter, fora)

MyúlÍ, Ņe nie bÍdzie to PaŮstwu na rÍkÍ, a tym bardziej PaŮstwa uŅytkownikom (klientom)
aby te dane zosta≥y upuplicznione.

W za≥Ļczniku zamieszczam dowody na posiadanie przezemnie plikůw.

Po zaksiÍgowaniu wp≥aty, oczywiúcie usuwam wszystkie kopie plikůw.
Luka w zabezpieczeniach zostanie wskazana po wp≥acie BTC.

Chyba nie muszÍ wspominaś, Ņe wszelkie průby namierzenia mnie zakoŮczĻ
siÍ opublicznieniu danych.

unnamed-3

fragment-bazy

Z załączonych grafik wynika, że włamywacz miał dostęp do filesystemu serwera i wszystkich vhostów na serwerze.

Ustalamy wiarygodność danych — niestety włamywacz nie odpowiedział na prośbę potwierdzenia faktu, że baza którą posiada jest świeża. Próbujemy też kontaktować się z przedstawiecielami firmy Rainbownet. Nieoficjalnie dowiedzieliśmy się, że mają świadomość incydentu bezpieczeństwa.

W międzyczasie sugerujemy wszystkim użytkownikom ww. serwisów zmianę haseł do innych kont, do których wykorzystywali te same dane dostępowe. Warto też zastanowić się co zawierały prywatne wiadomości przesyłane w ramach ww. serwisów i w razie potrzeby zacząć oswajać się z myślą, że ktoś może poznać Wasze sekrety.

Aktualizacja 9:00, 19 marca 2015
Otrzymalśm odpowiedzi od Pana Remigiusza, który wysyłał nam pocztę z adresu Pana Pawła, w domenie zip.pl:

Sprawa została przekazana na policję, pytanie dot. opłaty okupu pozostawiam bez komentarza.

Zaptaliśmy też, w jaki sposób firma powiadomiła użytkowników serwisu — oto odpowiedź:

Jakiego serwisu? Zamieścili Państwo niepotwierdzone informacje o 7(!) odrębnych i niezależnych serwisach. Od każdego z nich proszę oczekiwać odpowiedzi i oświadczenia.

Oraz jak doszło do włamania:

Sprawa jest jeszcze badana, najprawdopodobniej jeden ze skryptów na przedmiotowym serwerze nie był odpowiednio zabezpieczony.

Aktualizacja 14:04
Oświadczenie serwisu fellow.pl:

Informujemy, że zrzut ekranu zawierających bazę danych jak i listę katalogów serwera nie pochodzi z żadnego z serwerów, na którym znajduje się serwis fellow!

Nie otrzymaliśmy również żadnych dowodów dot. włamania do serwisu fellow, administratorzy również tego nie potwierdzają.
Jesteśmy przekonani, że włamywacz nie miał dostępu ani do serwera, ani do bazy danych serwisu, a jedynie do wczesnych prototypów skryptu PHP, które zostały umieszczone na atakowanym serwerze i są one datowane na 2011 rok. Poleciliśmy już ich usunięcie.

Pozostałe wymienione na liście serwisy nie mają nic wspólnego z fellow, to zupełnie odrębne i niezależne strony znajdujące się na innym serwerze/serwerach.

Najprawdopodobniej jesteśmy ofiarą pomówienia wysłanego przez włamywacza-szantażystę, któremu wydaje się, że uzyskał bezpośredni dostęp do serwerów i bazy danych fellow.

Przekazaliśmy sprawę na policję i do działu prawnego…

Przeczytaj także:

46 komentarzy

Dodaj komentarz
  1. Mialem stycznosc z jednym serwisem z tej listy – ogolnie rzecz biorac wszystkie funkcje w php aktywne, brak open_basedir, pliki pracujace na uprawnieniach www-data.

    Chyba wiecej nie trzeba nic dodac.

    • A co złego w działaniu php jako www-data? Przecież to domyślne ustawienie. Serio pytam.

    • Domyślne ustawienie gdzie? Przy jakim owrapowaniu php? Przy instalacji PHP-CGI jak Pan Bóg przykazał skrypty uruchamiają się z konta ownera :)

  2. Ech… ;)

  3. prawie 2 tygodnie kiedyś zajęło mi doproszenie się u adminów fellow.pl załatania buga heartbleed
    więc nie dziwne że ktoś się tam włamał

  4. Blackhat :( Ps dlaczego zamiast grzecznie poinformować o incydencie dostępu do bazy danych od razu bitconnty WFT świat schodzi na psy

    • To samo pomyślałem. Jak chciał zarobić, to mógł zaoferować swoje usługi w temacie poprawy bezpieczeństwa serwisów.

    • tiaaa… i jeszcze ten jego mail do niebezpiecznika, z “dla ktrórego nie ważni są ludzie , tylko kasa która od nich pobiera , ale dac od siebie to nic….”, o ironio…

    • @Sebastian: a po co oferować swoje usługi skoro można zarobić w łatwiejszy sposób? Gdybyś za przeniesienie tony cegłówek miał zarobić 500zł i tyle samo za wydanie polecenia przeniesienia tony cegłówek komuś innemu, to co byś zrobił? Bo ja bym patrzył jak nosisz moje cegłówki.

    • @Ninja
      Sam jestes jak >ceglowka<

  5. Zawsze pełno komentarzy pod artykułami, a tutaj cisza. Ciekawe, ciekawe…

    • Czytelnicy w panice zmieniają hasła – ja już zmieniłem, a Ty? :D

    • Czyżby redakcja liczyła na masowe kaming ałty pod artykułem i dzięki temu zwiększenie oglądalności serwisu?

      :)

    • Wszyscy poszli zmieniać hasła :)

    • A co tu pisać… pewnie użyli backdora do włamania. ;)

    • Tona cegłówek? Tylko?
      Na jakim dystansie?
      W jakim mieście?
      Wchodzę w to!

  6. Portale słabe, bo słabe, ale jaką gnidą trzeba być, żeby ukraść taką lub podobną niejawną bazę włamem, szantażować i brać za nią na lewo kasę… Jeszcze to “ostrzeżenie ludzi przed serwisami Pana Rafała (…) dla ktrórego nie ważni są ludzie , tylko kasa która od nich pobiera “…
    Jak tutaj:
    http://asset-2.soup.io/asset/1550/7208_20a4.jpeg

  7. Mierne serwisy, łatwa ofiara i chciwy attacker.

    • Chciwy? Te marne 5BTC przecież nawet na waciki nie wystarczy…

      btw. Z tak mizernego żądania okupu podejrzewałbym jakiegoś script-kiddie.

  8. “ustalamy wiarygodność danych” znaczy nawiązujecie nowe znajomości z chłopakami z gejowo?

    • Tak, nie dostałeś od nas maila ? Może sprawdź w spamie ?

  9. “Więc PROSZĘ o ostrzeżenie ludzi przed serwisami Pana Rafała (…) dla ktrórego nie ważni są ludzie , tylko kasa która od nich pobiera , ale dac od siebie to nic….”

    Powiedział człowiek, dla którego ważna jest właśnie kasa, a nie bezpieczeństwo portali.

    Gimbus, tyle. Po co te zamieszanie, skoro nawet nie było leaku danych? Takie dane to można sobie sfabrykować w oparciu o wycieki które już miały miejsce.

  10. “Nieoficjalnie dowiedzieliśmy się, że mają świadomość incydentu bezpieczeństwa.” – to który u was pedałuje codziennie rano do pracy?

    Nie gadajcie, że nie spodziewaliście się takich komentarzy.

  11. Może REDWATCH zapłaci 5 bitcoinów?

    • Redwatch też zmienia hasła ;)

    • nie muszą, bo stanowią 90% (nomen omen) członków tej społeczności

  12. “Szkoda mi poprostu tych wszystkich biednych userow (…) dla ktrórego nie ważni są ludzie , tylko kasa która od nich pobiera , ale dac od siebie to nic…”

    Co za tępy ch***. I kto tu jest chciwy, i komu szkoda tych ludzi. Ten PRZESTĘPCA powysyłał mail do wszystkich portali tą informację żeby wpłynąć na właścicieli i dostać te swoje 5BTC, bo został olany ciepłym moczem.

  13. Strona http://rainbownet.pl/ jest niedostępna. Ciąg dalszy historii?

  14. Gdyby włamywacz był naprawdę wyrachowaną mendą za jaką niektórzy komentujący go przedstawiają, to baza już by leżała dostępna na forach kibolskich, młodzieży wszechpolskiej, itp, itd. Uderzyłby tak żeby bolało. Moim skromnym zdaniem koleś sam jest gejem, i nie puści tej bazy(zakładam cały czas że faktycznie ją ma).
    A firma no cóż, moim zdaniem, analiza strat i zysków każe zapłacić okup po potwierdzeniu informacji. Chyba że chce się dać userom jasny sygnał “wasza prywatność i potencjalnie bezpieczeństwo są dla nas wiele warte, ale bez przesady, nie 6 tysięcy złotych, dupochron w postaci zgłoszenia na policję wystarczy. Jak komuś życie albo i kości się połamią, niech nas skarży.”

    • A kto miałby połamać komuś kości i za co?

  15. w tym wypadku jedyną alternatywą może być http://www.supergay.pl , zresztą jest o wiele lepszy niż te słabizny

  16. dawac baze

    • ciekawi cię czy tam jesteś?

  17. Skrypty dziorawe jak sito ,a fragmenty bazy gejowo kraza gdzies jeszcze na pastebin.

  18. Powinniście wykonać dokładne testy penetracyjne :)

  19. Drogi Niebezpieczniku do dziś żyłem w nieświadomości, że takie serwisy w Polsce istnieją i chyba wolałem wierzyć, że w naszym kraju jest to zjawisko niszowe :-D – bez ofensywy do gejów, w końcu jest popyt to i jest podaż.

  20. moim zdaniem chłop po prostu zaczął od dupa-strony

  21. wyglada na to, ze ktos temu baranowi ozenil jakas stara bezwartosciowa testowa baze, a ten mysli ze boga zlapal za nogi. na potwierdzenie swoich slow dodam tylko, ze geje nie zaplaca, a on nie udostepni bazy bo gowno w niej jest.

  22. Czy Moderator komentarzy także jest gejem? Napisałem wcześniej homofobiczny komentarz i się nie pojawił dlatego pytam. Przepraszam jeśli uraziłem czyjeś uczucia.

    • Jak napiszesz antysemicki, albo chamski dowcip o rudych lub murzynach też pewnie skasuje. Wtedy wysnujesz wniosek że mod należy do tych grup?

    • Tak więc homofobie nie pisz tu homofobicznych komentarzy. Nie ma tu dla nich miejsca. Fobię można leczyć gdzie indziej niekoniecznie tutaj.

  23. Hmm… Niezamówiony test penetracyjny w przypadku niektórych stron to podwójne ryzyko…

  24. A mail do Niebezpiecznika miał na celu… ułatwienie złapania go? Czy może nacisk na firmę aby zapłaciła hackerowi?

  25. Ktoú jest bardzo samotny. Ja tu nie widzÍ problemu tylko widzÍ niezapchanĻ samotnĻ dziůrÍ.

  26. Jak mozesz to pokaz ta baze danych xD

  27. Firmy nie dbają o bezpieczeństwo danych, nie przeprowadzają testów bezpieczeństwa to potem tak jest. Moim zdaniem każda firma powinna zgłosić się do firmy zajmującej się bezpieczeństwem IT. Ja dużo słyszałam o SANSEC – przeprowadzają testy internetu, haseł i pomagaja wykryć ewentualne luki. Hakerzy coraz częściej atakują i trzeba zwracać na to uwagę bo problem się rozrośnie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.