13:27
16/2/2013

W internecie opublikowano bazę danych serwerowni MintsHost.pl, zawierającą dane klientów. Atakujący po znalezieniu luk, próbował sprzedać informację na ich temat właścicielowi serwerownii, ale ten nie podjął współpracy — baza danych klientów została opublikowana w internecie.

Włamanie do MintsHost.pl

Strona serwerowni została także podmieniona już 13 lutego:

Deface mintshost.pl

Deface mintshost.pl

Jak pisze Oś!, osoba która przełamała zabezpieczenia serwerowni MintsHost:

Mikorol [administrator Mintshost –dop. red.] miał niejednokrotnie szansę podjęcia współpracy, byłem chętny naprawić każdą lukę jaką znałem i również te które wykorzystałem. Podjął te współpracę, ale skończyło się na obetnicach wynagrodzenia(?), przestał się oddzywać wszędzie, pozmieniał wszystko nie wiedząc, że nadal mam dostęp, jednym słowem robi w ch*** tak jak i zrobił mnie tak i robi klientów, chociaż po spojrzeniu na maszyny raczej nie było oversellingu i wszystko było stabilne. Na przyszłość polecam wszystkim przyszłym twórcom mikro firm aby zaopatrzali się w lepszy skrypt niż LiveZilla i lepszy skrypt na stronie głównej. ;c

Z internetu dalej można pobrać zrzut bazy…

SQL dump - mintshost.pl

SQL dump – mintshost.pl

Prawdziwość opublikowanych przez włamywacza danych potwierdza jeden z wteranów forum WHT, Archi:

[Dyskusje] Mintshost.pl - Strona 11 - Opinie o firmach hostingowych - WebHostingTalk.pl

Post na WHT dot. wykradzionych danych z mintshost opublikowanych w internecie

W bazie oprócz danych użytkowników (w tym haseł hashowanych jedynie MD5) znajduje się także korespondencja z klientami (zapisy treści chatów). Poprosiliśmy właściciela MintsHost.pl o oświadczenie w tej sprawie — jak tylko je otrzymamy, zaktualizujemy treść tego posta.

Jestem klientem MintsHost, co robić?

Wszystkim klientom Mintshost.pl zalecamy natychmiatową zmianę haseł we wszystkich serwisach internetowych, w których ustawili takie samo hasło jak do kont w Mintshost.pl

Przeczytaj także:

35 komentarzy

Dodaj komentarz
  1. Co robic? zmienić hasło, w przyszlosci zrezygnowac z
    serwisu, isc do konkurencji.

  2. Fajnie, kupilem vpsa 3 dni temu -_-.

    • To samo… “”” Witam, Przyznajemy się do błędu, którym jest
      luka w panelu WHMCS. Luka do twórców panelu została zgloszona.
      Sprawa została zgłoszona do odpowiednich służb gdzie dział prawny
      postara się dla tej osoby o odpowiednie kary. Osoba, która to
      zrobiła nie uzyskała dostępu do usług klientów tzw: serwery VPS,
      WWW czy dedykowane. W najbliższych chwilach będą informacje o
      rekompensacie dla naszych klientów. Pozdrawiam Michał Korol –
      Mintshost.pl tel: 533-194-555 “””” Czy ktoś wie, gdzie można
      zobaczyć zrzut…?

  3. Jaka jest relacja pomiędzy mintshost a biznes-host (kto od
    kogo kupuje)?

    • minthost to dzieciak, który dzierżawi dedyka w BH.

    • To bardziej skomplikowane. Najpierw było jak piszesz, ale potem mu nie szło i chyba BH przejął częściowo interes. A potem BH został wykupiony przez Ogicom, więc nie wiadomo jak jest teraz.

  4. A chciałem być ich klientem.

  5. minthost NIE ma serwerowni, nie jest też właścicielem
    serwerowni. mają vpsa czy kiepskiego dedyka w bizneshoście. to raz,
    a dwa niedawno ukradli cały lay z iweb.com – nawet mieli w kodzie
    zostawione linki do ich grafik !!!

  6. po grafice SQL dump jest: wteranów – literówka

  7. Idąc tokiem rozumowania piratów, danych klientów nie można ukraść, bo przecież baza nadal ma te dane. To nie kradzież, tylko swobodne udostępnianie!

    • Zostawmy określenie piractwo w znaczeniu okreśolnym w konwencji o morzu pełnym. Poza tym technicznie jeśli złapią tego człowieka co “wykradł” dane, to nie dostanie on zarzutów kradzierzy, a pewnie coś w rodzaju “nieuprawnionego dostępu do systemów komputerowych”.

    • Pomijając wszystko inne, bo mnie dyskusja o “piractwie” nie
      obchodzi. Nie wiedziałem, że dane osobiste są tworem artystycznych
      lub biznesowym. Nie wiedziałem, że ich przeznaczeniem jest
      komercyjna dystrybucja. Dobrze wiedzieć.

  8. “potwierdza jeden z wteranów” weteranów miałobyć

  9. Nie rozumiem tego fragmentu oświadczeni “Osoba, która to
    zrobiła nie uzyskała dostępu do usług klientów”. W takim razie do
    czego są wykradzione hasła?

  10. Ludzie zlitujcie się …
    http://www.mintshost.pl/panel/clientarea.php
    http://www.mintshost.pl/panel/admin/login.php przecież oni nawet
    ssl-a nie mają podczepionego do panelu …

    • a jakie to ma znaczenie?

    • @Stefan no choćby takie, że po tym widać jak na dłoni, czy właściciel hostingu ma kilkaset złotych rocznie na podwyższenie bezpieczeństwa klientów w momencie logowania, czy kładzie na to przysłowiową lachę :-)

  11. Wczoraj dostałem maila ze zresetowanymi hasłami. Nie
    wiedziałem o co chodzi. Teraz już widzę… :/

  12. Ciekawe dane musiały być w kolumnach cardtype, cardnum, expdate, bankname! :)

  13. To jakaś tragedia. Nie wiem, do GIODO coś takiego można zgłosić?

    • A jesteś stroną? W pierwsze kolejności do ciupy powinien iść “hakier”.

  14. hihi haha. olewackie podejscie skutkuje olaniem.

    brak kompetencji, ambicji i rzetelnosci potwierdza zdenerwowanie osob uczciwych, ktore chcialyby a nie moga, az w koncu rosnie bunt.

  15. Mikorol tak na prawdę niczego nie zgłosił, gdyż nie wie jaka to była luka, znów robi swoich klientów w bambuko. :( Smutne, jak ktoś będzie chciał to jestem pewien, że ta baza jeszcze gdzieś po necie krąży.

    //Marcin Maziarz: Niezbyt, gdyż używali pp/transferuj.

    • //”PP” Nie każdy jest głupi kolego :) Ale wykaż się i
      chociaż nie rozrzucaj tego dalej, bo to trafia w klientów a nie
      główną jesdnostkę waszej kłotni/zatargu. Pozdr

  16. “Miałem załatać wszystko, ale potem i tak miałem dostęp”
    8/10 would read again

  17. Nie jestem grammar nazi, ale aż mnie odbyt piecze jak patrzę na ten pierwszy screen.

    • Widać, że hakier to też jakiś gimnazjalista. Bardzo charakterystyczne u tych dzieciaków jest nadużywanie słowa “ów”, chociaż żaden z nich nie umie go poprawnie odmienić ;) “Paczcie, jak mondrze piszę!”

  18. Jak dobrze że nie mam u nich hostingu… a miałam mieć! uff

  19. A jaki hosting polecacie?

    • Używam linuxpl.com – administracja odpowiada od razu na pytania, od 3 lat nie mam z nimi żadnego problemu.

  20. Haha, chyba minthost poszedł z torbami. Strona
    http://www.minthost.pl jest zaparkowana.

    • Literówkę masz

  21. My mamy wykupiony u Nich vps i wczoraj był atak na “naszego” TS3
    Dziś się dopiero jak napisałem do Pana dlaczego TS3 nie działa to dostałem odpowiedz że zerwali umowę przez to że był atak i że mogliśmy zabezpieczyć bardziej serwer – gdzie nie mamy do tego dostępu,oraz że to nasza wina że był atak
    Teraz zerwali z nami umowę nie chcą oddać pieniędzy ani przywrócić TS3

    Napisałem do nich oficjane zgłoszenie i czekam na odpowiedz

    Cyrki jakieś,żałuję,że kupiłem u nich vps.
    Ogólnie nie polecam

  22. Nie wiedziałem o tej sytuacji. Przez te 6 miesięcy kiedy mam u nich konto nic złego się nie dzieje, a w sumie spróbowałem dla ceny, a zostałem u nich ze względu na sensowną jakość. Support to mają w porządku, ale to już sami sobie testujcie.

  23. Miałem u nich konto VPS z 3 lata temu (jedna z tańszych ofert z kontem root) i nie mam zastrzeżeń.
    Hack w mintshost? Nie pierwsza firma nie ostatnia.
    Miałem niedrogi hosting www (nazwy nie podam :)) gdzie kilka razy zauważyłem zainfekowane pliki PHP. Podjrzewam, że też wykorzystali jakąś lukę i stąd hack.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: