11:24
6/3/2012

Tydzień temu odezwał się do nas niejaki “hex”, rozbawiony starociami publikowanymi przez Jurassic Sec. Hex postanowił przełamać falę prehistorycznych wycieków i opublikował w internecie ponad tysiąc rekordów z bazy sklepu klubu piłkarskiego Legia (sklep.legia.com).

Wyciek danych klientów ze sklep.legia.com

W bazie, która jak mówi hex, została wykradziona poprzez SQL injection, znajdują się hashe haseł, imiona, nazwiska, daty urodzenia, adresy zamieszkania, numery telefonu oraz adresy e-mail klientów sklepu sklep.legia.com dziennikarzy zaakredytowanych przez klub piłkarski Legia.

sklep.legia.com wyciek

sklep.legia.com - wyciek bazy klientów/kibiców

Dużo danych dziennikarzy

To co jest ciekawe, to fakt, iż większość z klientów to dziennikarze/pracownicy prasy i telewizji (m.in. TVP (36x), TVN (27x), PAP (9x) Fakt (12x), Bauer (2x), Agora (35x), AxelSpringer (11x)) — ktoś wie z czego wynika ta ponadprzeciętna obecność dziennikarzy wśród kibiców Legii?

Cytując Dzień Świra: ce wu, ce wu ka, strona legii SQLi ma.

Aktualizacja 14:30
Legia Warszawa wystosowała komunikat, w którym przeprasza za wyciek i informuje, że wykradzione zostały dane nie klientów sklepu, a dziennikarzy (użytkowników systemu akredytacyjnego). Czyżby baza serwisu akredytacyjnego była “osiągalna” z poziomu sklep.legia.com? Jak zapewnia wykonawca sklepu, firma HIVE Sports & Media luka została już załatana (podano datę: 24/25 lutego 2012).

Aktualizacja 16:30
Okazuje się, że “wektor ataku” nie jest taki nowy. W Google znaleźć można dyskusję z czerwca 2011 roku, w której zaprezentowano błąd SQL injection na sklep Legii:

legia.com-hacked

SQL injection w sklepie Legii ma już prawie rok?

PS. Prośba do dziennikarzy sportowych, których domeną nie jest bezpieczeństwo internetowe, a chcą opisać to zdarzenie. To nie “hackerzy zaatakowali serwery Legii”, a przypadkowy/anonimowy internauta znalazł błąd. Znalazł, bo hobbystycznie niektórzy ludzie zajmują się wyszukiwaniem tego typu podatności. Wielce wątpliwe jest twierdzenie, że chodziło o “namierzenie/zemstę na dziennikarzach” albo, że atak miał podłoże “wojny kibiców”. Niewątpliwie źle się stało, że hex zamiast poinformować właściciela bazy, opublikował ją w internecie — wszystkim przypominamy, że za tego typu działania kodeks karny przewiduje długi pobyt na “ławce rezerwowych”…

Aktualizacja 19:10
Grzegorz Wróbel nakierował nas na wątek na forum, w którym hex ogłasza chęć sprzedania bazy dziennikarzy za 500 PLN:

Legia - sprzedaż bazy

Ogłoszenie o sprzedaży bazy dziennikarzy wykradzionej z serwerów Legii

…i informacja innego użytkownika, że jest w stanie eskalować atak z SQL injection do “przejęcia kontroli nad serwerem”. Użytkownik ten sugeruje podmianę konta przyjmującego płatności na inne:

Włamanie do Legii

Przejęcie kontroli nad serwerem Legii przez SQL injection?

Wygląda więc na to, że o ile hex opublikował dane jedynie dziennikarzy, to nie jest wykluczone, że inni ściągnęli całą zawartość bazy sklepu internetowego Legii Warszawa. Na wszelki wypadek, wszystkim, którzy korzystali ze sklepu sugerujemy zmianę hasła w każdym serwisie, w którym korzystali z tego samego co na stronach Legii.

Przeczytaj także:

63 komentarzy

Dodaj komentarz
  1. Swoją drogą fajny asortyment – kiedyś sprzedawali nawet… plastelinę z logiem Legii. Widać starali się dopasować do grupy docelowej. ;) Pozostałością jest tylko ten link i tytuł strony: http://sklep.legia.com/sklep/index.php?c=83&p=151

  2. Kojarzycie ten amerykański symbol “looser” ze znakiem litery L na czole? Pasuje jak ulał ;)

    • brytyjski!

  3. Najlepsze jest to, że się nie da zmienić hasła w owym sklepie.

    • może dlatego, że sklep wdrożyła “firemka” za 800zł…. Cóż dopóki nie wrócą czasy CECH-ów Rzemiosł, MISTRZÓW I CZELADNIKÓW będziemy mieli sytuację taką, że Janek Kowalski, lat 17, z zamiłowania informatyk, po szkole projektant i programista aplikacji internetowych będzie wykonywał takie zlecenia – z większymi lub mniejszymi sukcesami… Czego się czepiam?!? Dobrze, że żeby leczyć ludzi trzeba zdobyć dyplom doktora/lekarza medycyny… Dalej tłumaczyć? ps. CECH istnieje wiem, ale “mistrza z informatyki” zrobić się nie da. chyba:/ ps2. Czy programista może zdobyć jakiś dyplom potwierdzający jego fachową wiedzę? w PL? Nie mówię tu o certyfikatach producentów (wyrocznia, małeoprogramowanie)

    • Lu: Co do certyfikatów itd. to nie ma jednego powszechnie akceptowanego i respektowanego papieru. Po prostu każda firma, która ma jakąś pozycję daje swoje certyfikaty z nadzieją, że ludzie, którzy je uzyskają będą mieli jakieś większe możliwości zatrudnienia itd.

    • @Lu
      Tego by tylko brakowało, beznadziejnych i utrudniających życie struktur.
      Zrobiłby się taki bajzel jak w prawie.
      Teraz nikt nie nakazuje branie siedemnastolatka do robienia strony.
      Jeżeli ktoś tak wybierze, to jego sprawa i kwesta tylko tego, żeby to on ponosił odpowiedzialność za swoje decyzje.

    • to niekoniecznie jest kwestia umiejetnosci wykonawcy ale tego ile chce sie za tego rodzaju prace placi… wez czlowieku napisz porzadny sklep za kilka tysi. Jesli klient chce miec bezpieczna aplikacje to w pierwszej kolejnosci musi byc swiadomy ze to kosztuje i zajmuje czas. Owszem jest cos takiego jak etyka zawodowa i mozna ja miec albo nie. Ja bym sie nie podjal pisania aplikacji za mala kase i w krotkim czasie, bo wiem ze tego nie wyjdzie nic solidnego. Ale po pierwsze nie wszyscy tak mysla a po drugie sam bym tak pewnie przestal myslec gdyby glod mi zajrzal do tylka.

  4. Ja tylko kojarzę odwieczne narzekania kibiców na stronniczość GW i TVN (tu jakby mniej dziwne) w kierunku Legii, co tylko znajduje potwierdzenie w tych danych.

    • Przecież Legia to ITI, czyli TVN. TVN dostało od pani prezydent Gronkiewicz stadion Pepsi Arena na którym gra Legia i który zbudowany jest za pieniądze podatników – taka mała dygresja piłkasko-medialno-polityczna, bo nie wszyscy wiedzą i rozumieją skąd tyle dziennikarzy w bazie.

      A Polonii Wwa nawet nie chcą wynająć stadionu Narodowego, więc będzie stał pusty…. – kolejna dygresja na temat faworyzowania TVNu nad innymi konsorcjami przy dysponowaniu pieniądzem publicznym….

  5. Od połowy lutego za 500 PLN. ;]
    https://vjelr2xdaqsgslzr.tor2web.org/viewtopic.php?id=1987

  6. a ja jestem rozbawiony tym, że kolejny gimbus wyciągnął bazę danych po sqli, które notabene było tam juz z rok temu i teraz świruje kozaka;)

    • Gdzie dowód?

    • w myśl zasady: pic or It didn’t happen

    • http://tnij.org/pqsz – dowód.

    • to akurat prawda i nie tylko to strona Platformy tak samo miała -_-.

    • W myśl zasady ‘co za żenada’ nie robię print screenów na pamiątke każego znalezionego buga. Nie mniej jednak może faktycznie było to na DT – to ich poziom wiedzy w końcu – junion selekt i wio

  7. “ktoś wie z czego wynika ta ponadprzeciętna obecność dziennikarzy wśród kibiców Legii?”
    Wydaje mi się że jest to spowodowane tym że większość dziennikarzy ze stolicy kibicuje Legii.

  8. Wyciek wyciekiem, ale np. dla kibiców Polonii baza danych kibiców Legii z nazwiskami, adresami i telefonami to miód na serce ;-)

    • Chyba tylko dla psychopatów, radem z grodu Kraka, z maczetami.

  9. UNION SELECT use_pass use_imie use_nazwisko
    Google it!

  10. Dziennikarze? Chcą być jak najszybciej na każdej ustawce.

  11. Przecież te koncerny medialne to nie tylko dziennikarze – a wręcz dziennikarze to mniejszość – dlaczego pracownicy Agory, ITI czy axelspringer mieliby nie być kibicami lub kimś kto kupuje dla męża/syna/znajomego jakiś gadżet. Sam znam takich kilku a żaden z nich nie jest dziennikarzem.

    Ale jeżeli są to dziennikarze to wynika z tego że nie tylko ze sklepu baza wyszła ale też np z biura prasowego/akredytacji.

  12. > ktoś wie z czego wynika ta ponadprzeciętna obecność dziennikarzy wśród kibiców Legii?

    Bo to prawdopodobnie jest również baza akredytacji

  13. Ale ta baza nie jest dostępna w internecie. Została przesłana Niebezpiecznikowi (lub jej .png) który opublikował news na temat wycieku. Dobrze byłoby to zaznaczyć w artykule.

    • Nie jest? To proponuję poguglać chwilę. Bez problemów można dojść do oferującego jej sprzedaż. Ciekawe co Legia – klub – na to?

    • Nie jest dostępna czy słabo szukasz? Bo na nią właśnie patrzę…

    • Niestety, osoba, która nam podesłała tę bazę, opublikowała ją w internecie. Po jej e-mailu otrzymaliśmy wiadomości od innych internautów, którzy się na tę bazę natknęli…

    • Faktycznie, słabo szukałem. “Drugie dno” podaje na tacy. Kwestia czasu jak będzie dostępna inaczej.

    • Ta baza jest nadal dostępna online i można ją wyguglać? Bo dochodzę do wniosku, że nie umiem korzystać z wyszukiwarki :/

  14. Wlam był do biura prasowego i systemu akredytacji a nie do sklepu.

  15. no i tu wyjaśnienie skąd (jednak) dziennikarze:

    “W związku z informacja nt włamania do oprogramowania biura prasowego i systemu akredytacyjnego dziennikarzy, informujemy ze zgłosiliśmy problem podwykonawcy systemu, firmie Hive Sports & Media.

    Czekamy na jej oświadczenie, niemniej błąd został zlokalizowany i naprawiony. Sprawa zostanie również niezwłocznie zgłoszona Policji. O dalszych krokach poinformujemy Was jak najszybciej. “

  16. Lol, torowisko się bawi :)

  17. No bardzo ciekawe, że w tabeli akredytacji dla dziennikarzy są sami dziennikarze…

  18. jeśli się boicie kradzieży obrazka możecie cenzorować hashe nie (tylko) czarnym prostokątem lecz samym napisem “niebezpiecznik.pl” ;)

    a ile wpisów ogółem w bazie?

  19. h to ty hex? Podatność była opisywana na Torowisku

  20. Dziennika mają konto, aby dostawać info w newsletterze o nowych produktach. A nuż trafi się coś o czym można będzie napisać. Podejrzewam, że we wszystkich tego typu sklepach klubów sportowych jest mnóstwo zarejestrowanych dziennikarzy.

  21. ITI jest właścicielem TVN i Legii. Poza tym biura przynajmniej kilku z podanych dzienników/stacji telewizyjnych są w Warszawie. Więc – o dziwo! – pracują tam warszawiacy. Więc – o zgrozo! – niektórzy popierają Legię. Więc – o em gje! – niektórzy rejestrują się w sklepie przy pomocy służbowego maila.

    • WG gazeta.pl, ktróra cytuje przedstawicieli Legii, baza nie zawiera klientów sklepu, a dziennikarzy, którzy ubiegaliją się o akredytacje.

  22. Jeszcze w poprzedni piątek informowałem administratora o błędzie. Widać nie tylko ja go widziałem. Błąd oczywiście jest już załatany

  23. w giewu napisali, że to baza danych systemu akredytacyjnego

  24. Yhym. Gimnazjaliści z sqlmapem nadal na fali, jak widać.

  25. Siem legionistom dostanie

  26. na torowisku baza jest od jakichś 2 tygodni. nic ciekawego.

  27. “Z przykrością informujemy, że baza danych dziennikarzy, którą administruje Legia Warszawa padła atakiem hakerów. Jednocześnie chcielibyśmy zaprzeczyć opublikowanej przez jeden z portali informacji, iż w Internecie zostały opublikowane dane klientów sklepu internetowego Legii oraz kibiców naszego klubu. Atakiem padła wyłącznie baza dziennikarzy, użytkowników systemu akredytacyjnego.”

    http://www.legia.com/index.php?typ=news&id=28322

  28. Zapomniałem dopisać. Odpowiadam na pytanie “ktoś wie z czego wynika ta ponadprzeciętna obecność dziennikarzy wśród kibiców Legii? ” Wlaśnie z tąd, że to jest baza dziennikarzy.
    Wygrałem co? ;p

  29. To raczej lista akredytacji prasowych/medialnych, nie klientów sklepu. W sumie dość niebezpieczna dla niektórych dziennikarzy gdyby została upubliczniona (zawiera adresy domowe).

  30. Heh,wywołanie proste jak walenie. http://sklep.legia.com/sklep/index.php?%5Bciach%5D W cholerę osób miało do tego dostęp, na torze wkleił ktoś link, wystarczyło wejść, skopiować i już :) Gówno prawda, WSZYSTKICH wyciekły dane. Nie tylko dziennikarzy. Ponad 1200 rekordów z tego co pamiętam. Peace.

    • Też mi się wydaje, że wszystko poleciało. Z tego co piszą, ten atak był tak banalny, że aż się wierzyć nie chce. Ale muszę przyznać, że na fali ostatnich wycieków, ten jest zdecydowanie najciekawszy ze względu na newralgiczność danych. Pal sześć te hash’e, ale adresy, telefony, imiona, nazwiska i to nie jakiś chłopków roztropków.

  31. dobry haker, baza wyciągnęta przez Havij Pro

  32. Co to za forum na zdjęciach

  33. Zjesz cebulke to sie dowiesz..

  34. Zjesz cebulke – tzn? Mam TOR-a uzyc, czy jak?

  35. Tak się zastanawiam – z jakiej racji osoba która miała tam konto ma zmieniać hasła? Niech odpowiadają ci co się włamali/słabo zabezpieczyli, a nie ten który u nich robił zakupy.

    • Nie tam ma zmieniać, ale w innych miejscach, w których hasło to posiadała.

  36. To bardzo miło że przepraszają, ale i tak będą musieli za to beknąć.

  37. LegŁa Warszawa.

  38. fajnie zabezpieczyli: http://www.legia.com/trophy/index.php?akt=12145 xD

  39. […] Wyciek bazy z danymi klientów internetowego sklepu kibiców klubu Legia Warszawa. [Niebezpiecznik] […]

  40. baza jednego spamera (ponad 7k adresów, login i pass do bazy domyślny):
    Received: from iem.kei.pl [195.149.225.216]
    by mx6.go2.pl with ESMTP id IfbhxX;
    Tue, 13 Mar 2012 14:21:12 +0100
    Received-SPF: neutral (mx6.go2.pl: 195.149.225.216 is neither permitted
    or denied by domain of info@reczek.pl)
    Received: (qmail 6311 invoked by uid 516111); 13 Mar 2012 13:21:11 -0000
    To: b111@o2.pl
    Subject: Zapytanie.
    HTTP-Posting-URI: reczek.pl:80/ccmail/admin.php
    HTTP-Posting-User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C)
    HTTP-Posting-Client: 77.253.255.111
    Date: Tue, 13 Mar 2012 14:21:11 +0100
    From: “P.H.U. Reczek Andrzej”
    Message-ID:
    X-Priority: 3
    X-Mailer: CcMail 1.0 – powered by PHPMailer 1.72

  41. […] na serwery serwisów sympatyzujących z Wisłą następuje kilka dni po wycieku danych (baza akredytowanych dziennikarzy) ze sklepu Legii Warszawa. O ile tam na błąd natknął się przypadkowy internauta, tak tutaj akcja wygląda na […]

  42. Hahaha dzięki niebezpiecznikowi staję się sławny ;) Na zdjęciu przedstawiającym ofertę sprzedaży też jestem :D

Odpowiadasz na komentarz shaql

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.