8:20
24/8/2017

Dopiero co opublikowaliśmy na przykładzie Fundacji Itaka, opis małej katastrofy, do jakiej doprowadzić mogą zaniedbania w konfiguracji serwera WWW, a dokładnie ten sam problem ujawnił się na BitBay.in i spowodował wyciek adresów e-mail subskrybentów newslettera.

Jeden z naszych czytelników napisał, że zamiast strony głównej giełdy bitcoinowej BitBay.in (jedna z regionalnych wersji polskiej giełdy BitBay) zauważył …listing plików:

W plikach tych znajdowało się ponad 650 adresów e-mail, taże Polaków:

Na szczęście, w kodzie dostępnych do pobrania przez każdego skryptów PHP nie znajdują się, wedle naszej wiedzy, żadne zahardkodowane klucze API czy hasła. W przeciwnym przypadku, sytuacja mogłaby się skończyć podobnie jak w przypadku Itaki.


Aktualizacja 24.08.2017, 10:32
Justyna Laskowska Witek z BitBay przekazała nam dodatkowe wyjaśnienia w ww. sprawie:

(…) “wyciek” dotyczył tylko i wyłącznie maili z zapisami do subskrypcji na landing page marketingowym skierowanym na rynek indyjski, tak, jak zresztą słusznie to Państwo wskazali w artykule. Maile nie są powiązane w żaden sposób z danymi naszych użytkowników, kluczami, hashami haseł itd. Dlatego wszystkie te dane są bezpieczne, a użytkownicy nie muszą czuć się zagrożeni.

My na wszelki wypadek sugerowalibyśmy użytkownikom, jeśli podali ten sam e-mail, na który założyli konto, aby go zmienili i uważali w najbliższych dniach na phishingi. Tego typu wycieki, choć nie zawierają haseł, to dają potencjalnym atakującym sprofilowaną grupę użytkowników danego serwisu, co może prowadzić do ściśle ukierunkowanych ataków spear phishingowych.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

8 komentarzy

Dodaj komentarz
  1. Wyciek bazy 60000 osób z Inpostu ale na niebezpieczniku cichutko.

    • Bo jeżeli jeszcze nie zauważyłeś redaktorzy niebezpiecznika nie zawsze piszą wszystko jak leci od razu, tylko rzetelnie sprawdzają informacje i źródła co zresztą bardzo szanuję. Co się odwlecze, to nie uciecze :D

  2. Końcówka pierwszego adresu z prawej kolumny…

    • Ktoś chyba wpisał byle co, bo nie ma takiej strony.

    • No domena też wolna.

  3. Błąd konfiguracji czy raczej kiepskie praktyki? Listing katalogów ułatwia atak, ale tylko poprzez ujawnienie istniejącego wcześniej problemu. Tutaj było nim trzymanie takich danych w „głębokim ukryciu” (ok: niezbyt głębokim ;)) zamiast w oddzielnym katalogu, do którego klient nie ma dostępu.

    • Z tego co widać na screenie, prawdopodobnie nie jest to wynik kiepskich praktyk. Prawdopodobnie błędy w konfiguracji są z tym powiązane. Brakuje indexu natomiast jest kilka jego kopi, w jakimś stopniu modyfikowanych. Albo trwały celowe prace na serwerze, bo by było rzeczywiście wynikiem kiepskich praktyk, albo miała miejsce zewnętrzna ingerencja atakującego ;) Który usunął plik index oraz zrobił sobie kopię danych do pobrania.

  4. witam a skad wiadomo ze to 650 meili wycieklo? czy mozna to gdzies zobaczyc, bo na tym jednym jpg z meilami jest ich okolo 120. a gdzie mozna zobaczyc calosc? moze ktos sie pomylil z ta liczba 650?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: