8:16
8/4/2012

Wczoraj jeden z naszych czytelników napisał, że dostał spam od Anonimowych na adres e-mail, z którego korzystał tylko i wyłącznie w serwisie peb.pl — podejrzewał włamanie …i niestety miał rację. Sprawdziliśmy i okazało się, że kilka dni temu w internecie pojawiła się oferta sprzedaży bazy peb.pl (ponad 2 miliony kont).

2 miliony kont peb.pl na sprzedaż

Statystyki serwisu peb.pl (tematyka: pirackie oprogramowanie) pokazują 2 084 191 zarejestrowanych kont. Internauta o nicku nvm, który na Torowisku (forum polskich użytkowników programu TOR) zapostował ofertę sprzedaży kont zaznacza, że sprzedaje tylko konta zwykłych użytkowników (nie moderatorów i nie administratorów).

Peb.pl baza wyciek

Peb.pl - wyciek bazy danych na Torowisku

Za ile? Za 5 bitcoinów. Wystarczy podać login użytkownika z peb.pl, zapłacić 5 BTC na rzecz nvm i otrzymamy wszystkie dane związane z tym loginem (adresy IP, hash hasła, adres e-mail…). Nie wiadomo, czy ktoś już kupił tę bazę od nvm, czy może on sam przekazał jej część Anonimowym — ale wygląda na to, że na adresy e-mail niektórych użytkowników peb.pl (w tym naszego czytelnika) już wysyłany jest spam.

Na marginesie dodajmy, że nvm oprócz bazy peb.pl na sprzedaż lub wymianę wystawia bazy kilkunastu innych serwisów (w tym wizaz.pl, maxior.pl i forum cba.pl).

Administratorzy peb.pl nic nie robią sobie z faktu włamania. Wątek na swoim forum dotyczacy kradzieży danych …wyrzucili do kosza

nvm do tej pory nie potwierdził w żaden sposób, że faktycznie posiada bazę peb.pl — jednak patrząc na jego poprzednie “wyczyny” i to, że otrzymujemy raporty o spamowaniu użytkowników peb.pl (e-maile rejestrowane tylko tam), można założyć, że i tym razem mówi prawdę.

Co robić, jak żyć?

Jeśli mieliście konto na peb.pl na wszelki wypadek natychmiast zmieńcie hasła we wszstkich serwisach, w których mieliście ustawione takie samo hasło jak na peb.pl. Hasło warto też zmienić na peb.pl — ale atakujący najprawdopodobniej posiada aktywny dostęp do bazy serwisu peb.pl, w związku z czym warto mieć świadomość, że nvm może mieć możliwość odczytania waszego nowego hasła…

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

141 komentarzy

Dodaj komentarz
  1. Właśnie sobie przypomniałem, że 5 lat temu założyłem tam konto – trzeba sobie hasło przypomnieć ;-)

    • Kup baze szybciej będzie

  2. Szkoda, że nvm za dodatkową cenę nie łamie hashy, czy czym tam oni kodują te hasła. :)

  3. do cba.pl ciagle dostep ma fir3, wiem kto wykradl maxiora ale watpie zeby chcial to sprzedac, wizaz.pl tez lata w sieci od jakiegos czasu.

  4. Peb.pl był pierwszym serwisem, w którym zacząłem korzystać z losowo generowanych haseł, więc na szczęście nigdzie mi się nie powtarza ;) Strata kontra też nie boli, bo było założone tylko tak na odczepnego, żeby mieć dostęp do zawartości forum ;)

    • Ty maniaku oprogramowania w celach edukacyjnych!

  5. sie ceni skubaniec, 1BTC to teraz 15zł;-)

    • …czyli co? 75zł za jednego użytkownika. Ten koleś chyba ocipiał. Milionerem chce zostać;)

    • btc sa tak anonimowe ze kazdy posiadacz wzbudza czujnosc :) uahah .. jedna wielka pralnia ..

  6. Moje hasło na peb.pl się do niczego nie przyda :D SPAM ląduje u mnie bezpośrednio w skrzynce Google Mail/SPAM więc mi nic nie grozi :)
    Ostatnio Google krzyczał, że strona jest zainfekowana. Admini podpadli społeczności PEB.pl ale nic z tym nie zrobią -.-

    • Muszą zweryfikować swoich reklamodawców, stąd jak sądze ostrzeżenia z google (oraz firefoxa, bo jak sądzę, firefox korzysta z danych google na temat zainfekowanych stron), ale fakt, ostrzeżenie potrafiło wisieć parę dni, a ci leżeli brzuchem do góry i nic z tym nie robili… Tylko mówili, że to nie ich wina…

  7. To Ci co wykradli mają dostęp do całego peb? Mogą np. podrzucić wirusa na stronę, aby wchodzący się czymś zarażał ? :)

    • Pewnie, szczególnie w miejscu, gdzie zmienia się hasło :)

  8. Z jednej strony – do każdego forum mam prawie takie samo (proste) hasło
    z drugiej strony miałem tam konto
    do poczty mam silniejsze “inne” hasło … jest sens zmieniać ? ????

  9. Trochę drogo…

  10. Dodam tylko, że administracja udając greka skutecznie usuwa tematy użytkowników informujących o ataku, radzących zmienić hasła.
    “Odpowiedzialność”, no ale czego się spodziewać na tego typu forum …

    • Zawiadomiłem administratora Unique, linkiem do tego tematu. Zobaczymy co z tego wyjdzie ;).

    • Ja też zawiadomiłem i … dostałem BAN! Haha lamerstwo do kwadratu!

  11. Ciekawe, że nie chce sprzedać kont admina i modów.
    Ściema.

    • Sprzedanie konta admina, to trochę strzał w stopę, nie sadzisz?

  12. Założyłem nowy temat z ostrzeżeniem i oto odpowiedź pebu:
    “Wiadomość
    Zostałeś zbanowany w związku z otrzymanymi ostrzeżeniami.
    Konto zostanie odblokowane w dniu: 08.05.2012, 09:11”

  13. Czy dane jednego konta są warte aż 5BTC? 45PLN?

  14. Nie, nie sądzę. Pogardził byś takim kontem? A kontem moderatora?
    Ja tez mogę wywalić komunikat “Mam do sprzedania bazę serwisu X” i uwierzysz mi?
    Ściema jak nic.

    • Sprzedawanie konta administratora jest nierozsądne, bo podkopuje biznes-plan…

  15. a co za różnic skoro hasła i tak są zahashowane ?

    • Solone raczej nie były więc problemu nie ma. Wystarczy mocniejszy procesor.

  16. Jak dostać się do torowiska? :)

    • Sowa przyniesie Ci list. Czekaj cierpliwie. ROTFL

  17. Mam takie głupie pytanie…. czy jest możliwość samodzielnego usunięcia konta na peb.pl ? szukam po opcjach i jakoś nie mogę się dopatrzeć…..

    • vBulletin nie daje takiej opcji niestety…

  18. Właśnie chciałem się zalogowac na konto w interii, które użyłem przy rejestracji na peb.pl ->info: konto zostało zablokowane, proszą o kontakt z biurem obsługi klienta. Ktoś miał podobny przypadek?

    • Hmmm. Mi całkiem niedawno zablokowali konto na o2.pl, które miałem takie typowo do spamu. Z tego powodu nawet nie chciało mi się kontaktować z administracją w celu wyjaśnienia problemu, o czym informował mnie stosowny komunikat. Ale jak sobie teraz pomyślę, to byłem na nim zarejestrowany właśnie na pebie.

  19. Do dnia dzisiejszego w dalszym ciągu w losowe godziny wyskakuje monit Google o zainfekowanym peb.pl. Mam wrażenie, że administratorzy mają w nosie to co się dzieje z forum.

    • pewine dlatego ze to od dawno policyjny serwis i tylko monitoruja frajerkow

    • @bvbxz nie.

  20. ciekaw jestem jak będzie w moim przypadku, ponieważ maiłem kiedyś tam konto około 2 lata temu poprosiłem o usunięcie, konto zgodnie z życzeniem usunęli, ale email chyba został w bazie bo przez ten czas dostawałem od nich na maila reklamy…

  21. To forum to jeden wielki burdel. Admini i moderatorzy mają gdzieś to, co dzieje się z forum. Byle ludzie się logowali i oglądali reklamy, bo za AdBlocka też banowali, jak ktoś wspomniał, że ma. Połowa skradzionych kont i tak jest nieaktywna od minimum roku, bo ludzie byli banowani za byle co. Jak teraz za zgłaszanie ataku hakerskiego.

  22. Kurde… właśnie kliknąłem w “Przypomnienie hasła” i się okazało, że kiedyś-tam się zarejestrowałem. Jak usunąć konto? (choć i tak już za późno, to profilaktycznie może…) Znalazłem formularz tylko do zmiany hasła i mejla, ale nie widzę “Usuń konto”.

    • Sklnij moderację na forum i poproś o kasację konta. :D

    • Admin może wyłączyć możliwość usunięcia konta przez użytkownika, trzeba do niego pisać..

  23. Tak apropo, z tego co wiadomo to też nvm był za niedawnym defacem i pozdrowieniem dla torowiska, ciekawi mnie ile uda mu się wyłapać zanim przejdzie do podziemia tylko że już prawdziwego.

  24. Niestety nie ma możliwości samodzielnego usunięcia konta, sam kiedyś prosiłem się kilka ładnych tygodni o usunięcie.

  25. Mi to lata, do kazdego rejestrowania uzywam innego pseudo losowego hasla.

    Tez to polecam kazdemu uzytkownikowi, KeePass :).

  26. przecież ta baza wyciekła w okolicach czerwca 2011, aż dziw że dopiero teraz ktoś ją sprzedaje.
    jednak widzę tam mnóstwo baz, które były w projekcie OpenID :>

  27. Z PEB-a NIE DA SIĘ! (przynajmniej samemu) usunąć konta. Osobiście do tego typu serwisów (torrentów, gier online itd) mam kilka specjalnych maili i polecam takie coś każdemu kto już raz się naciął. A co do wiarygodności nvm’a to została już potwierdzona przez kilka osób z TORa. Pytacie dlaczego nie poda hashy Admina/Modów? O to jego wyjaśnienie: “Mając administratora ktoś sobie pobierze bazę danych… a moderatora to będzie jak debil usuwał użytkowników… “. Chyba proste i logiczne c’nie?

  28. 75zł za *weź sobie hash i łam*? To żart, prawda?

    Na marginesie to peb to jeden wielki burdel. Nawet Google raportuje. Jakby ktoś się bardziej postarał, to może wywaliłby indeksowanie. ;)

  29. nie sądzicie, że po całej aferze “ACTA” pojawiło się znacznie więcej szumu w sieci o włamania? Czyżby kolejna prowokacja jakieś ustawy przypominającej ACTA mającej nas zabezpieczyć przed “kolejnymi atakami”?

    • I ataki na pirackie strony są takie dla społeczeństwa dotkliwe?

  30. No świetnie – niestety i ja mam tam konto o którym już dawno zapomniałem. Te hasła ma w plaintextcie czy zahaszaowane?

  31. dlatego korzystam z darkwarez.pl …

    • lol

  32. Po pierwsze Panie Piotrze o godzinie 8:16 to zajada się smaczne śniadanko (najlepiej z rodziną), a nie wrzuca wpisy. Szczególnie jak mamy święta. Ktoś chyba hybrydą jest. Oczywiście żartuje więc proszę nie brać tego do siebie i nie banować jak administracja peb’a :-)

    Przykład ich geniuszu http://peb.pl/feedback/1223388-kolejna-proba-w-amania-na-konto.html#post5497993 (3 akapit) – zrzucanie odpowiedzialności na innych?

    Swoją drogą mam dziwnego farta, bo na którą stronę nie wejdę to mam błąd. Przykładowo:
    http://filolozka.brood.pl/ – co się stało :-(
    http://chelm24.pl/ – zonk (wcześniej 404 i jakieś dziwne foldery)
    http://www.ibuk.pl/ – wczoraj baza danych leżała, bo pewnie na święta każdy się rzucił, aby książkę kupić

    @Grek Może i da się samodzielnie usunąć konto tylko trzeba się włamać :P

    Ja tam mam na to wyrąbane. Zarejestrowane na skrzynkę spamową, na którą nawet nie zaglądam, bo codziennie po 3-4 maile od allegro (CITEAM.PL) mam. Tylko do rejestracji na dennych serwisach.

    Zgadzam się także z poglądem odnośnie reklam. Tylko to się dla nich liczy i oglądalność. Była masa dziwnych zdarzeń związana z peb’em ale ludzie nadal tam siedzą.

    PS
    Już dawno temu mówiłem, że można zrobić bota co będzie ripował memberlist i potem curlem logował się na chama. Już taki myk widziałem na phpBB by (pseudo)przemo.

    • My jesteśmy w strefie -9h w stosunku do czasu polskiego. Pozdrowienia z SV ;)

    • Salwador ma -6

    • Jakie zwalanie winy na innych? Przecież to wina nvm że się włamał. Nikt mu nie kazał.

  33. Eh, nie sprzeda kont modów i adminów bo wiedzieli o włamaniu i pozmieniali SWOJE hasła.

    Ponadto istnieje plik z roz-hashowaną większą częścią bazy. A włamanie to jest stare jak świat, ponadto dziwi mnie fakt że jeszcze żaden pr0 haxior nie pochwalił się bazą elektroda.pl, więc nie zdziwię się jak pojawi się za jakiś czas post typu “Masz konto na elektroda.pl? Twoje dane zostały wykradzione!”

    Cieszę się że “ochłapy” rzucane pro haxiorom robią taki zamęt. Zastanawialiście się kiedyś ile rzeczy celowo nie rzuca się pro haxiorom?

  34. A po kiego chcecie usuwać teraz konta, skoro wasze dane już wyciekły?
    Hash’a można złamać, bierzemy rainbow tables i jazda, tylko czy jest sens kraść konto zwykłego użytkownika? Raczej nie. Kont team’owych nie chce sprzedać, no może jakiegoś vipa, by się opłacało podkupić…chociaż i to nie. Nie ma tam ani fxp, ani private site’ka, jednym słowem nic, co mogłoby zainteresować potencjalnego złodzieja. Ot zwykły leet bazar.

  35. Założyłem nowy temat z ostrzeżeniem i oto odpowiedź pebu:
    “Wiadomość
    Zostałeś zbanowany w związku z otrzymanymi ostrzeżeniami.
    Konto zostanie odblokowane w dniu: 08.05.2012, 09:11”

  36. W świetle wszystkich opisanych do tej pory na niebezpieczniku włamań na przeróżne serwisy i do wszelakich sieci, zastanawiam się dlaczego tak rzadko stosowany jest OpenBSD? Co ludzi trzyma przy dziurawym i trudnym do “utwardzenia” Linuksie? Do prawdy nie pojmuję…

    • Zawsze, kiedy czytam coś takiego, przypomina mi się:
      http://archives.mars-attacks.org/boklm/misc/obsd.jpg

      A tak na serio, to nie jest kwestia systemu, tylko człowieka, który nim zarządza…

    • tak. bo openbsd chroni przed sqli :-]

    • 1. System jest przereklamowany
      2. Nie wszystkie podatności dotyczą systemu, lecz także oprogramowania z portów/pakietów
      3. Poczytaj sobie, jak developerom idzie aktualizacja oprogramowania w portach
      Po tym sam już będziesz wiedział.

  37. A może to po prostu admini dorabiają do kieszonkowego? dlatego nie wystawili swoich kont i wyciszają temat.

  38. “Ataki”, to jakiś script kiddle przeciesz te fora stoją na phpbb i vB które wiele razy miały udowadniane luki, np w vB SEO….

    • Akurat te ataki nie były wykonane na prostych dziurach. Wybacz, ale gdyby to było aż tak proste to już dawno tureccy Pro Haxiory podmienili by to dla szpanu.

    • script kiddie, noobie -.- ? Pokaz mi sqli w phpbb

    • Teraz każdy gimbus może być chakierem, bo wystarczy wiedzieć od kolegów, gdzie ściągnąć odpowiednie oprogramowanie. Jaki później prestiż w szkole, jakie poważanie od spotkanych na szosie po drodze do gie esu.

    • @dsasadsadasdas: Oj są. Co poniektóre parametry przekazywane jako GET pozwalają się na dobranie do bazy. Nie powiem jednak które, żeby nie uczyć dzieciaków hackować forum. A w Przemie tego jest 2x więcej.

  39. A co do usuwania konta to polecam:

    W myśl Art 6 ust. 1 i ust. 2 Ustawy o Ochronie Danych Osobowych oraz wykładni stosowanej przez Generalnego Inspektora Ochrony Danych Osobowych tak nick jak i numer IP stanowią daną osobową umożliwiającą w sposób pośredni identyfikację osoby fizycznej przez co podlegają ochronie. Opinię tę podzielił również Sąd Najwyższy, który analizował kwestię używania i ochrony nicków, a 11 marca 2008 r. wydał w tej sprawie orzeczenie (sygn. akt II CSK 539/07). Chciałbym przypomnieć o wyższości ustawodawstwa krajowego nad waszym regulaminem, który musi być z nim zgodny.

    • Khem, na PEB leży połowa wszechświatowego warezu, a Ty chcesz ich straszyć ustawą? :D

  40. Jak to mówią, nie ma jak to porządna i rzetelna odpowiedź oraz reakcja serwisu, na prawdopodobny atak i dump bazy… A nie chwila, jednak odpowiedzi i reakcji brak, heh.
    Może też być tak, że to jedna z następnych metod zarobkowych, ciężkie czasy nadchodzą, z czegoś trzeba żyć – podobnie jak żyje sobie chyba najpopularniejsza strona torrentowa w polsce z końcówką Org, gdzie wymagane jest wysłanie sms, żeby się zarejestrować, co tydzień czy parę dni kasują losową liczbę kont po to, aby te osoby wysłały jeszcze raz sms, i tak biznes się kreci, ci jak widać, poszli o krok dalej, wyższy poziom zaawansowania…

  41. Jak się wprowadza bitcoiny do normalnej gospodarki? Bo chyba nie sprzedaje emaili, żeby kupić ebooki?! ;)

  42. oficjalny komentarz z administracji: ee tam siejecie panike …

  43. Czym tu się podniecać. Że ktoś pozna, że Jan Nowak ma maila JanNowak@wp.pl itp. i takie i takie IP. wow! Niesamowite.

    • a potem sprawdzi, że hasło które miał na peb.pl jest takie samo jak do allegro/nk/facebooka/e-maila. Jeślo “nie znasz sie”, to mlilczenie jest złotem ;)

    • Jeśli dane hasła będą działać również na allegro, to ten gimbus, który się włamał sprawdzi to pierwszy. Resztę sprzeda.

  44. – Dzień dobry. Jestem zainteresowany wzięciem kredytu mieszkaniowego.
    – Tak, zapraszam. Pracuje Pan?
    – Tak, mam własną działalność internetową. Prowadzę duże forum i zarabiam 1500 zł netto miesięcznie.
    – Pańskie zarobki mnie nie interesują. Poproszę o historię kredytową.
    – Proszę, oto ona.
    – Tak, hmm. W tej sytuacji jedyne co mogę Panu zaproponować to zwiększenie aktywności na koncie lub 70% wkładu własnego.

    Wieczorem:
    – Kochanie, nie dali mi kredytu. Powiedzieli, że muszę zarobić pieniądze. Co mam zrobić? Pójść do pracy na etat?
    – Brzydzę się tobą, ty nieudaczniku. Inni jakoś zarabiają a ty się do niczego nie nadajesz.
    – O co ci chodzi?
    – Wykombinuj coś, bo cię zostawię.
    – To co mam robić?
    – Rób co chcesz.

    2 godziny później:
    Sprzedam konta do PEB’u. 15 zł za sztukę, ale adminów nie sprzedaję.

    • 75zł za sztukę ;)

    • hmm, to calkiem pasuje do adminow PEB-u

  45. A ja się bym nie zdziwił że to sami admini peb.pl są odpowiedzialni za atak.
    O to moje poszlaki:
    1. Nic sobie z niego nie robią
    2. Banują tych którzy próbują coś zrobić
    3. Nie sprzedają “swoich” haseł i loginów.

  46. Mam farta bo uwaliłem swoje konto fejk mejlem i losowym hasłem dawno temu :)

    A może po prostu real admin ma święta a hacker bawi się w fejk admina i dlatego…

  47. A moze to kontrolowany wyciek? Sposob adminow na dorobienie? Stad probuja jak najdluzej nie uswiadamiac uzytkownikow. Sami sprzedaja dane pod przykrywka wlamania ;)

  48. jak wejść na torowisko?

    • Jak nie jesteś pedofilem to nie wchodź.

  49. Mozek ktos podac adres tora? bo cos nie wchodzi mi stary. (bodajze l6.. jakos tak)

  50. Ciekawe jest to że przy próbie zmiany maila/hasła wywala mi komunikat “podane hasło jest niepoprawne”. Po kliknięciu w link powrotny wita mnie biała stronka z komunikatem “no input file specified”. Czyżby dziura?

  51. Wiecie, że na poczcie wp w haśle nie można mieć polskich znaków?

    Hasło zawiera niedozwolone znaki: ąćżźóę

    • I słusznie – polskie znaki są różnie kodowane – kodowanie zależy między innymi od ustawień przeglądarki. Jeśli chcesz poprawnie obsługiwać hasła z polskimi znakami to musisz:
      – kodować je do jednego standardu po stronie serwera (brzydkie – bo na haśle nie powinno się nic robić poza crypt’em)
      – lub nie przejmować reklamacjami że moje ulubione hasło “hasełko” zawsze działało, a teraz po zmianie komputera/przeglądarki/ustawień przestało
      – lub pozbyć się problemu blokując te znaczki

  52. Na maila zarejestrowanego kiedyś tylko dla potrzeb peb.pl spam przychodzi (obecnie 2 wiadomości) od piątku. Wcześniej nie było ani jednej wiadomości.

  53. stopka:
    [code]Powered by vBulletin® Version 3.8.7
    Copyright ©2000 – 2012, Jelsoft Enterprises Ltd.
    Search Engine Friendly URLs by vBSEO 3.5.2[/code]

    VB -nie jest bezpieczne :)

  54. Jak w vB są defaultowo szyfrowane hasła w bazie ? Tak jak w phpbb czy dodają np salt ?
    Btw, mając 35-znakowe hasło ze znakami specjalnymi mogę spokojnie spać ? Chyba tęczowe tablice tego nie rozgryzą ? ;>

    • Trącał pies hasło, ja bym bardziej martwił się o mejla. Hasło zmienisz, z mejlem gorzej, a jak dotąd dbałem, by nie wypływał zbytnio nigdzie, żeby spamu nie łapać.

  55. Odp: Wyciek danych z serwisu
    Jakie dowody? Chciałbym je poznać.
    Ja również mogę powiedzieć, iż posiadam bazę serwisu “X” i sprzedam ją lub poszczególne konta.
    Jak na razie kilka osób sieje panikę i chce budować image swoich portali naszym kosztem.
    Prawdą jest, iż pewna grupa skupowała stare konta zarejestrowanych użytkowników.
    Teraz te konta “wypływają” siejąc ferment w feedbacku i podając w kółko tą samą informację.
    Od pewnego czasu niektórym bardzo “nie leży” to, iż na PEB dokonywane są zmiany.

    Nie mogę potwierdzić i nie mogę zaprzeczyć czy baza została wykradziona.
    Po pierwsze nie ma na to dowodów (puste słowa i pisanie na innych portalach).
    Po drugie skupowanie starych kont i teraz pojawianie się postów z nich właśnie z tą informacją każe podchodzić sceptycznie do tego.
    Po trzecie podana liczba użytkowników (w tej bazie) przez jeden z portali jest nieprawdziwa i została najprawdopodobniej wzięta ze stopki peb.pl

    Jedyną osobą, która może powiedzieć więcej w tej sprawie jest tylko unique.

    Ponieważ jak już wspomniałem brak dowodów na to, temat zamykam, a z dowodami zapraszam na PW lub support@peb.pl

    To napisał admin o nicku mgjk30

  56. @mer
    Włamać się na takie vB czy Phpbb jest dużo trudniej niż do autorskiego oprogramowania z prostego powodu – jako projekty open source rozwijane przez wiele lat, są najczęście już b. szczelnie zamknięte. Niedawno przeprowadziłem parunastogodzinny test ostatniego SMF i mimo moich ( moim zdaniem ) wysokich umiejętności, nie znalazłem nic : P

    • W większości luki pojawiające się w projektach open source są spowodowane przez wadliwe modyfikacje. @mer prawdopodobnie mówi o osobach, które znajdują sobie “exploita” i szukają odpowiedniej frazy w google, próbując “pojechać” jak najwięcej stron.

    • Nie wiem na ile te krążące są ploty prawdziwe, ale nie raz słyszałem pochwały dla SMF za solidne wykonanie.

      2. Nie wiem czy to lenistwo czy brak potrzeby, ale aktualizacje i wszelkie nowości dość “wolno wychodzą” – szczególnie, że czekam na łatkę 2.0.3 odkąd xss na 2.0.2 zobaczyłem.. ;-)

    • No nie do końca. Na ogół tak, ale np. w zeszłym roku różne fora vB padały jak muchy bo był exploit na 4.1.coś tam. Co prawda był patch, ale nawet tacy giganci jak Bethesda nie załatali forum w porę.

  57. Ciekawe jaki kołek się tam loguje na swój oficjalny mail “do namierzenia”? ;) 75zł za dane jednego anonimowego usera to jakaś kpina:xD Poza tym peb.pl od daawnaaaa jest dziadowski – od kiedy zaczął się ukrywać. Ale to jeszcze zdzierżyłem i konto sobie tam założyłem. Za to od kiedy wprowadził dalsze restrykcje w dostępie do linków, to w ogóle tam nie zaglądam… Admini sami się pozbawili userów – idioci…

  58. Napisałem do adminów, że chętnie za własne BTC kupie dane jakiegokolwiek wskazanego przez nich konta aby było można sprawdzić czy baza faktycznie jest w posiadaniu NVM. W odpowiedzi poczęstowano mnie banem ;]

  59. Oczywiście jest to prywata jednego z adminów i na dodatek dobrze wiem którego.

    • Mało wiesz :)

  60. Próbuję zmienić chociaż hasło, ale mam bana na każde inne. Poszła zatem wiadomość do admina z prośbą o usunięcie. Już dawno powinienem je usunąć choć tego hasła już nigdzie nie używam.

  61. Nie znam się za bardzo na kwestiach zabezpieczeń, ale od pewnego czasu nurtuje mnie pytanie związane z trudnością haseł. A jako ze teraz będzie trzeba parę zmienić to może ktoś mi odpowie.(na peb.pl zarejestrowałem się parę lat temu, kiedy sprawy bezpieczeństwa haseł jeszcze mi “dyndały”).

    Czy waszym zdaniem hasło będące całym zdaniem jest bezpieczne? W teorii, ponieważ ma dużo znaków, to powinno być trudniej je złamać. Przykładowo jako hasło wstawić: “Togłupiezdaniejestoddziśmoimnowymhasłemdotegoserwisu”. Długie, a jednocześnie łatwe do zapamiętania. Dodatkowo można jeszcze miedzy nie powtykać np jakieś liczby.

    • Hasła typu “Ja1ZnamMojeHaslo” są obecnie najbardziej trudne do złamania (zwróć uwagę na obecność dużych liter jak i cyfry/cyfer, najlepiej użyć też znaków specjalnych) ale… Nie które serwisy trzymają hasła w plaintext (forma czytelna – nie zakodowana) dlatego należy wszędzie używać innych haseł a tym bardziej nigdzie nie używać hasła do e-mail.

    • Czy zdajesz sobie sprawę z tego że hasła maja ograniczoną długość ???

    • W sumie hasła będące zbitką słów są dobrym pomysłem. Zarówno trudne do złamania (nigdy nie wiadomo ile hasło ma słów, więc atak słownikowy nie zadziała, zostaje tylko brute force) jak i łatwe do spamiętania. Był nawet komiks xkcd o tym, ale nie mogę znaleźć.

      Dodatkowo warto jednak “zakodować” hasło za pomocą 1337 speech a.k.a pokemoniaste pismo. Np. hasło “joystickmisiękurnazepsuł” w leecie byłoby “j0y5t1ckm1si3kurn4z3p5uł”.

    • Też właśnie myślałem, że można je dodatkowo zaszyfrować jakimiś losowymi znakami albo podmianą niektórych liter na znaki konkretne. A samą myśl mi właśnie komiks w XKCD podsunął :)

  62. Moze to sa podwaliny pod jakiegos nowego Polskiego wareza?

  63. Tak z ciekawości – jeśli ktoś się wnerwi i zgłosi na Policję to całkiem możliwe że po paru miesiącach do nvm rano zapuka ktoś ;)

    • Tak oczywiście, ten koleś napewno loguje się z domowego internetu i heckzuje sobie strony edu.pl oraz popularne fora.

    • ciekawe jak skoro końcowy węzeł na którym siedzi nvm jest nie do zlokalizowania w sieci tor, poczytaj trochę a dowiesz się dlaczego siedzą na nim pedofile i kwitnie slikroad.

      swoją drogą, admini tłumaczą się, że to może być zemsta za to, że wywalają hostingi ze swojego warezu np. polski hellshare, a jak wiadomo peb królem linków jest :)

  64. jaki jest link do tego TOROWISKA co na zdjeciu jest.

    • Niezbyt długi, i niebieski. Klikalny oczywiście.

  65. Hmm ;)
    A ja coś czuję, że faktycznie ma tą bazę
    Przeglądając jego cebule widać, że trochę tego zebrał
    http://vh6o6cl2w5b3owcx.onion/nvm/shop.htm
    Można znaleźć też jego (chyba) beze z oezoforum z datą Apr 04, 2012 at 19:41 PM
    co w miarę pokrywa się z wyjściem exploita dla phpmyadmin.
    Jeżeli i PEB w tym czasie miało tą samą wersję PHP_MA to faktycznie pech.

  66. Łoś superktoś :D

    @Ktoś tam od polskich znaków
    Tak w sumie myślę że to niegłupi pomysł – użyć chociaż jednego znaku z niestandardowego zestawu a-zA-Z0-9_!@#$%^&*() …. bo kto w bruteforcea dawałby polskie znaki albo cyrylicę? : >

  67. Heh… dobrze, że mam krótką pamięć i dość często korzystam z opcji “Przypomnij/Zresetuj hasło” a portem zapominam je zmienić :F (Swoją drogą takie hasło jednorazowe z potwierdzeniem przez maila).
    Ciekawe, czy dostał się do backupu czy do bazy produkcyjnej.

  68. k****, zeby tylko google i allegro nie padlo dzialaniom takich frajerow

  69. na Torowisko jest akcja rozleklamowania forum …. a NB tylko w tym pomaga :)
    @Alex ja

  70. Wszyscy się plują, że admini im konta banują za wspomnienie o tym, że ich forum zostało rozkradzione. Tylko, że ten gość ma właśnie dane do ich kont więc to może on chce to ukryć? Swoją drogą dziękować za info, niby gówniane konto na gówniany email ale nigdy nie wiadomo.

    • I facet nic nie robi cały dzień tylko pilnuje, żeby ktoś tematu nie założył? Zwłaszcza że pisał że nie chce mu się nowej kopii bazy robić? ;)
      A nawet jeśli to admini tym bardziej powinni zareagować (nie wspominając o tym, że takie konta powinny mieć zabezpieczenie przed wejściem z nowych IP).

  71. Ciekawe, ciekawe. Zaczynam się cieszyć, że nigdy nie zakładałem tam konta :)

  72. Skoro chcą reklamować forum to może podadzą link ? kiedyś można było ciekawie pogadać na l6…

  73. Extra!- sprzedam konto użytkownika na peb- no powiedzmy za 70 zł. Moje własne!:) Nie musicie kupować całej bazy:d

  74. @Mickey No rzesz k@#$%, przynieś podaj pozamiataj wszystko pod nosek !!! Jeżeli sam nie potrafisz znaleźć tego forum, to znaczy ze nie masz czego tam szukać ! Bo cie wezmą przeżują i wyplują a przy okazji konto do allegro możesz stracić xD Do lekcji poszedł !!!!!!!! :D

  75. Przejmujecie się podanymi mailami w peb i ewentualnym ich przechwyceniem. A przecież można to rozwiązać bardzo prosto. Wystarczy w swoim koncie pocztowym (lub nowym koncie specjalnie do takich forów założonym) utworzyć alias, np. wp.pl pozwala tworzyć aliasy w domenach np. “wp.eu”,”imprezowicz.pl”, “biznespoczta.pl”, “zwybrzeza.pl”. Zresztą w każdej poczcie są aliasy. Daje to zabezpieczenie przed poznaniem głównego konta pocztowego posiadacza które jest używane w internecie np. na społecznościówkach. Co do hasła to stara zasada passwd > 8 znaków mieszanych jak ktoś użyje tęczowych tablic to i tak złamie wcześniej czy później. Zawsze można atakującemu trochę utrudnić stosując długie hasła i zapisać w przeglądarce lub specjalnym menadżerze haseł

  76. przeczytałem wasz post, zmieniłem hasło na pebie a te ananasy mnie zbanowały, czyli faktycznie administracja peba przedaje dane

  77. mi tak samo zablokowano konto zmieniłam hasło i zapytałam na forum czy to prawda że ktoś ukrdł dane. Nikt mi nie odpowiedział a za ciekawość dostałam bana

  78. Baza tego forum zostala wykradziona w roku 2006 i umieszczona na publicznej stronie , showcase administrator logowal jeszcze adresy IP wszystkich uzytkownikow stad tez wpisujac swoj adres IP w google mozna bylo otrzymac odnosnik do strony z wykradziona bazu forum – po paru tygodniach baza zostala usunieta z serwisu , jednak pewnie ktos ma jej kopie i to ona jest przedmiotem dyskusji a nie baza z lat 2011-12 bowiem od zamkniecia serwisu napisy – org administracja dla bezpieczenstwa wylaczyla logowanie userow po adresie IP stad jedynie w starej bazie z 2006 roku jeszcze hosty byly dostepne , natomiast w nowej juz nie . Pamietam jakiez bylo moje zdziwienie gdy wpisujac domowy adres IP w wyszukiwarke otrzymalem link do strony z baza pebu i swoim kontem , jednak to bylo lata temu bo obecnie jak twierdzi administror IP uzytkownikow nie jest zapisywane ani na poziomie bazy ani serwera.

  79. Czy to nie ja sprzedaje konta na PEB?
    Pozdrawiam. nvm

  80. ja tez dostałem zapytanie o pozwolenie o przesyłanie reklam. nadawca wyjawił ze beze ma z internetu i podał linka i jest nagłówek gram24.pl i moj adres i kilka tysiecy kont e-mailowych

  81. […] z naszych czytelników, świadomi tego jak wiele ostatnio było wycieków haseł, zmienili sposób zarządzania swoimi hasłami. Aby lepiej chronić swoje dane w internecie, […]

  82. […] nvm od pewnego czasu upublicznia bazy danych należące do popularnych serwisów (np. peb.pl, a ostatnio bazy z danymi klientów TPSA i Netii). Nvm jest również twórcą hostowanego w sieci […]

  83. To ja sprzedam swoje – taniej i z rozszyfrowanym hasłem, są zainteresowani? ;)

  84. od maja dostaję spam z tajwanu na mail, który (tylko poza 4 porządnymi serwisami) był użyty na pebie – coincidence? :)

Odpowiadasz na komentarz wer

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: