20:54
2/8/2012

Pewnie się domyślacie kto ją opublikował… Tak, za wyciekiem znów stoi nvm, znany z upublicznienia wielu innych baz danych.

cs-puchatek.pl hacked

Przypomnijmy, nvm od pewnego czasu upublicznia bazy danych należące do popularnych serwisów (np. peb.pl, a ostatnio bazy z danymi klientów TPSA i Netii). Nvm jest również twórcą hostowanego w sieci TOR forum PBM oraz, również hostowanego w sieci TOR, archiwum wycieków baz danych o nazwie Polish Hackers Zone.

Cs-puchatek.pl baza danych

Cs-puchatek.pl baza danych na Polish Hackers Zone

W upublicznionej 4 godziny temu bazie należącej do popularnego, ogólnotematycznego forum cs-puchatek.pl znajduje się dokładnie 546204 rekordów w postaci: nick, e-mail, hash hasła, salt.

www.cs-puchatek.pl.sql dump

www.cs-puchatek.pl.sql dump

Mam konto na cs-puchatek.pl – co zrobić?

Wszystkim użytkownikom forum CS-PUCHATEK.PL radzimy jak najszybszą zmianę hasła (nie tylko do forum, ale do każdego serwisu, w którym mieli takie samo hasło). Zapewne grupa zapaleńców już “łamie” hashe, zwłaszcza, że ich budowa jest znana, bo forum zasila skrypt Vbulletin…

Prześlijcie ten link do znajomych, którzy mają konto na cs-puchatek.pl, bo z naszych informacji wynika, że administratorzy forum nie poinformowali jeszcze swoich użytkowników o włamaniu…

PS. Programisto, 3 znakowa sól to niezbyt dobre podejście do bezpieczeństwa. Sól ma zapobiegać atakom przy pomocy tablic tęczowych, a więc powinna być tak długa, żeby hasło połączone z solą nie miało długości krótszej niż dostępne tablice tęczowe… Więcej o bezpiecznym podejściu do przechowywania haseł pisaliśmy w tym artykule.

Aktualizacja 3.08.2012
nvm próbował sprzedać bazę administracji forum — ale nie wyszło. W tym samym wątku administrator tłumaczy jak doszło do wycieku. Hasło na roota zxcv… ;)

Przeczytaj także:

33 komentarzy

Dodaj komentarz
  1. Przerażają mnie prawie codzienne informacje o wyciekach. Co to za nowa moda? :P

  2. Ta baza była już od pewnego czasu na liście na jego stronie, żadna nowość. Po prostu teraz dał ją za darmo.

    • czyżby nikt nie był zainteresowany zakupem?

    • Była na sprzedaż + oczekiwał na odpowiedź (i zapewne zapłatę) ze strony administracji Puchatka – upominał się dwukrotnie i nie dostał żadnej odpowiedzi, to udostępnił bazę za darmo..

  3. moze powinniscie temu panu poswiecic caly dzial :)

  4. Programisto, nie rób nic, co wyczytałeś, że sprytne, bo wszystko można tanio złamać na EC2 , Google Web Apps czy w innej chmurze amerykańskiego giganta

  5. “Programisto, 3 znakowa sól to niezbyt dobre podejście do bezpieczeństwa. Sól ma zapobiegać atakom przy pomocy tablic tęczowych, a więc powinna być tak długa, żeby hasło połączone z solą nie miało długości krótszej niż dostępne tablice tęczowe…”

    Vbulletin hashuje tak: $hash=MD5(MD5($password)+$salt)

    Czyli raczej to niebezpieczeństwo tutaj nie zachodzi.

  6. No cóż… dobra karta graficzna i zabezpieczenie praktycznie zerowe przy takim hashowaniu.

    • Ja mam swój algorytm (sól kilkanaście cyfr):
      $hash = sha512(sha512($_POST[‘password’]).$saltfromconfig.sha512($generatedsalt));

  7. nom, niestety miałem tam konto i do kilku innych mniej znaczących serwisów też. Hasła zmienione :)

  8. A co do mody to fakt. Ostatnio dużo tego :) Może i ja zamieszczę gdzieś niektóre swoje zrzuty baz :)

    • Localhost sie nie liczy! ;)

  9. skiter, zabiłeś :D

    • Mistrz! :D

  10. A jaką długość mają dostępne tablice tęczowe?

    • Albo jaką długość są tablice tęczowe dla pełnego ascii?

  11. “że administratorzy forum nie poinformowali jeszcze swoich użytkowników o włamaniu…”

    Jednakze z tego co mi wiadomo wymusili WSZYSTKIM uzytkownikom zmiane hasla.

    • Właśnie sprawdziłem bo skojarzyłem że mam tam konto na które się długo nie logowałem i się zalogowałem bez problemu. Nie było potrzeby zmiany hasła więc żadnego wymuszenia zmiany nie było.

  12. Nic nie zabił bo nawet nie wie do kogo to napisał.

    • Do kogo niby? Jak czytam te wszystkie komentarze / arty o wielkich hakerach to mnie skręca.. nvm…hex.. wiedzą co to sql-i i robią z siebie hakerków.. To się człowiekowi musi nudzić albo być złamasem życiowym aby próbować sprzedać bazę legi albo stronę o cs-ie… Jesteś w czymś dobry? Spróbuj żyć uczciwie i stworzyć biznes (wtedy ci pogratuluję) a nie udawać speca bo przeczytałeś sql injection cheat sheet (rozumiem.. +1 na dzielni…). Ludzie zastanówcie się… za teścik penetracyjny dostaniesz dużo “tysięcy dolarów USA” a niedojdy sprzedają bazę za grosze bo w życiu sobie nie radzą i potem mamy spam na skrzynkach. Dziękuję, dobranoc…

    • Albo uczciwie albo biznes.

  13. Tu sprzedają 10. znakowe:
    http://project-rainbowcrack.com/buy.php
    Tu ciekawe coś o tęczówkach na ssd: http://www.ciozone.com/index.php/Security/Cracking-14-Character-Complex-Passwords-in-5-Seconds.html

    • Co do tych SSD to nie do końca zawsze tak miło wygląda, ale dopóki korzystamy z tego co mamy na klawiaturze “programisty” w windzie – max. 57 sekund zajęło najtrudniejsze hasło. Nie XPkowe, tylko MD5. Dodam, że ja wcale dobry nie jestem, ale znajomy powiedział mi, że na 128GB SSD mógłby łamać 13-znakowe SHA256 w ciągu kilku minut, a 14 znakowe w czasie do 30min. Czekam, aż to wykmini, a potem otwieramy interes “odzyskiwanie haseł z hashy”.

  14. Widziałem tą bazę jakiś czas temu z ciekawości chciałem ją obejrzeć ale ni jak nie da się tego ściągnąć z linków podanych na stronie nvm’a, albo ja nie umiem

    • nie umiesz ;]

  15. Po takiej wpadce “puchatek na pewno nie zostanie prezydentem” :>

  16. @oburzony
    cs-puchatek to warezisko z niewielkim dodatkiem grania. “Forum Wielotematyczne” jak peb, ajo, exsite…

  17. Jeśli zakładam na takich serwisach konto to podaje fikcyjne dane i tymczasowy adres email. Co komu dadzą dane z takiego konta?

  18. kolejny dzień, kolejny wyciek i znów trzeba zmienić hasła dzięki, że pomagacie ludziom być na bieżąco

  19. […] Przyczyna jest prosta: nie da się znaleźć na liście swojej ofiary, jeśli nie zna się jej loginu w serwisie Chomikuj. Z tego powodu większość złodziejów baz danych udostępnia funkcję wyszukiwania w swoich wykradzionych bazach po różnych parametrach (e-mail, nazwisko), umożliwiająć tym samym kupno jednego, konkretnego rekordu, który na pewno należy do ofiary na której może komuś zależeć. Tak działa m.in. nvm, który w sieci TOR prowadzi usługę trudniącą się sprzedażą wykradzionych danych osobowych. […]

  20. […] częściej słyszy się o różnych wyciekach danych (np. wyciek skrótow haseł z linkedin lub wyciek bazy cs-puchatek.pl). Celem włamywaczy są informacje o użytkownikach dużych portali internetowych, na przykład: […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.