8:20
24/8/2017

Dopiero co opublikowaliśmy na przykładzie Fundacji Itaka, opis małej katastrofy, do jakiej doprowadzić mogą zaniedbania w konfiguracji serwera WWW, a dokładnie ten sam problem ujawnił się na BitBay.in i spowodował wyciek adresów e-mail subskrybentów newslettera.

Jeden z naszych czytelników napisał, że zamiast strony głównej giełdy bitcoinowej BitBay.in (jedna z regionalnych wersji polskiej giełdy BitBay) zauważył …listing plików:

W plikach tych znajdowało się ponad 650 adresów e-mail, taże Polaków:

Na szczęście, w kodzie dostępnych do pobrania przez każdego skryptów PHP nie znajdują się, wedle naszej wiedzy, żadne zahardkodowane klucze API czy hasła. W przeciwnym przypadku, sytuacja mogłaby się skończyć podobnie jak w przypadku Itaki.


Aktualizacja 24.08.2017, 10:32
Justyna Laskowska Witek z BitBay przekazała nam dodatkowe wyjaśnienia w ww. sprawie:

(…) “wyciek” dotyczył tylko i wyłącznie maili z zapisami do subskrypcji na landing page marketingowym skierowanym na rynek indyjski, tak, jak zresztą słusznie to Państwo wskazali w artykule. Maile nie są powiązane w żaden sposób z danymi naszych użytkowników, kluczami, hashami haseł itd. Dlatego wszystkie te dane są bezpieczne, a użytkownicy nie muszą czuć się zagrożeni.

My na wszelki wypadek sugerowalibyśmy użytkownikom, jeśli podali ten sam e-mail, na który założyli konto, aby go zmienili i uważali w najbliższych dniach na phishingi. Tego typu wycieki, choć nie zawierają haseł, to dają potencjalnym atakującym sprofilowaną grupę użytkowników danego serwisu, co może prowadzić do ściśle ukierunkowanych ataków spear phishingowych.

Przeczytaj także:

6 komentarzy

Dodaj komentarz
  1. Wyciek bazy 60000 osób z Inpostu ale na niebezpieczniku cichutko.

    • Bo jeżeli jeszcze nie zauważyłeś redaktorzy niebezpiecznika nie zawsze piszą wszystko jak leci od razu, tylko rzetelnie sprawdzają informacje i źródła co zresztą bardzo szanuję. Co się odwlecze, to nie uciecze :D

  2. Końcówka pierwszego adresu z prawej kolumny…

    • Ktoś chyba wpisał byle co, bo nie ma takiej strony.

    • No domena też wolna.

  3. Błąd konfiguracji czy raczej kiepskie praktyki? Listing katalogów ułatwia atak, ale tylko poprzez ujawnienie istniejącego wcześniej problemu. Tutaj było nim trzymanie takich danych w „głębokim ukryciu” (ok: niezbyt głębokim ;)) zamiast w oddzielnym katalogu, do którego klient nie ma dostępu.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: