12:59
2/3/2012

Tydzień wycieków trwa w najlepsze. Abu Nazir opublikował kolejną bazę — tym razem są to dane klientów sklepu Steamkeys.pl, którego właścicielem jest Macro Games SA.

Baza steamkeys.pl (Macro Games SA)

Jak pisze Abu Nazir, baza pochodzi ze stycznia 2012 roku i zawiera 1431 rekordów (login, hash SHA1 hasła, adres e-mail, oraz imię i nazwisko).

Kiedy we wtorek napisaliśmy na Facebooku o możliwości wycieku danych z Steamkeys.pl (Abu Nazir zapowiadał wtedy udostępnienie bazy), odezwał się do nas właściciel Steamkeys.pl z taką, dość zaskakującą, informacją:

Pragnę poinformować, że hasła są zabezpieczone metodą sh1 – szansa zgadnięcia hasła jest bardzo, ale to bardzo znikoma.

Na naszą odpowiedź zawierającą informację o tzw. Rainbow Tables umożliwiających “odwracanie” hashy już niestety nie odpowiedział… Z kolei kiedy Abu Nazir opublikował bazę z hashami, a na forach internetowych zaczęły się pojawiać pierwsze informacje o wyciekach i ostrzeżenia użytkowników, reprezentanci Steamkeys.pl zaczęli żądać usuwania wpisów:

steamkeys-wyciek-baza

Wyciek bazy ze steamkeys.pl nie został dobrze odebrany przez właścicieli sklepu (fot. forysmac)

Nie tak wygląda poprawna obsługa incydentu… można wręcz odnieść wrażenie, że sklep Steamkeys.pl i Macro Games SA chcą zatuszować sprawę — czy ktoś z Was był ich klientem? Czy sklep poinformował Was o tym, że Wasze dane wyciekły?

Zmieniaj hasła

Jeśli kupowałeś coś w Steamkeys.pl, zmień hasło nie tylko w Steamkeys.pl ale również w każdym innym serwisie, do którego ustawiłeś takie samo hasło. I nie ustawiaj więcej tych samych haseł do różnych serwisów, ok? :)


Przeczytaj także:



53 komentarzy

Dodaj komentarz
  1. Całe szczęście że jeszcze u nich nie kupiłem klucza…

  2. Zapytałem ich na FB czy poinformowali klientów o wycieku bazy, odpowiedzieli że zresetowali hasła wszystkich klientów dwa dni temu – dzień przed opublikowaniem dumpa?

    Ktoś może potwierdzić?

    • Potwierdzam, musisz ustawić sobie nowe hasło na koncie.

  3. Byłem ich klientem niestety – żadnych informacji…

    • @kiler129, a możesz się zalogować poprzez swoje hasło?

  4. Zastanawiam się, czy niektórym wiara w kryptografię nie zaczyna zastępować religii…

  5. Co się teraz dzieje na tym świecie. Co kilka dni włamy od baz o.O

    P.S Wiadomo już skąd brali klucze ;-) ?

    • Na świecie włamy do baz są dużo częściej niż co kilka dni, a data release dumpu =/= data włamania.

  6. o bede pierwszy który to skomentuje ;d wlasnie przed waszą publikacją jako 1 ściągnąłem plik 21 godzin temu z tą bazą. Niestety SH1 mało jest hashy, które wprawdzie pasują do strony. Wszystkie SH1 złamane zostały w pare godzin metodą rainbow tables.
    A słyszeliście wyciek na torrentach jest 35 milionów profili(była wersja z hasłami, została usunieta ;p) z google ?

  7. Proponuję wszystkie tego typu akcje zgłaszać od razu do organów ścigania. Nie wiem w jakim celu publikują te rekordy? Żeby pochwalić się niebezpieczniku? Niebezpiecznik ostatnio zauważyłem tylko nakręca dzieciaków do hakierowania (te wszystkie pseudo wywiady) a nie piętnuje takiego zachowania. Przypomnę może redakcji, że dzieciaki za każdym razem popełniają przestępstwo z art. 267 kk w zw. z art. 268a kk w zw. z art. 258 kk w zw. z art. 49 Ustawy o ochronie danych osobowych.

    • A kto ci broni zgłosić? Złóż zawiadomienie na najbliższej komendzie, zamiast marudzić w stylu “weźmy i zróbcie”.

    • To nie był pseudo wywiad. To był wywiad. Wywiad, który mam nadzieję wszystkim uzmysłowił poziom “atakujących”. I o to chodziło. Przy okazji został osiągnięty dodatkowy cel, ale tu już trzeba mieć pewne pojęcie o pewnych sprawach, żeby móc to zauważyć. My robimy swoje – organy ścigania też, o to się nie martw ;)

    • @konieczny: Mimo wszystko użytkownik “poszkodowani” ma racje. A twierdzenie, że ten wywiad ma jakieś głębsze dno – to trochę przegięcie. Dowiesz się o jednej osobie więcej ( co może posłużyć organom ścigania ;] ), a natchniesz dziesiątki takich jak on publikując ten wywiad. Lawina script kiddie mórowana. Coraz więcej sensacji w tym serwisie, coraz mniej merytoryki. Takie jest moje zdanie. Pozdrawiam

    • OMG! Producenci noży mogą natchnąć setki osób do morderstw! Apeluję o zdjęcie noży z wszelkich witryn sklepowych! (PS: Google: schneier security theater)

    • Jeżeli chodzi o ten artykuł 268a, to niestety konkuruje z bimbrem o najbardziej olewany artykuł polskiego prawa karnego.
      Pod artykuł podpada masa akcji – jeżeli moja komercyjna strona oferująca coś (produkt czy usługę) jest popchnięta w wyszukiwarce w dół przez inną stronę, która prowadzi tylko SEO i tego czegoś nie oferuje, jest to typowe utrudnianie dostępu plus strata majątkowa, gdybym doniósł to dla SEOwca maksymalnie pięć lat zakładu bagietniczego :).

    • Piotrze, to nie chodzi o to, żeby zabraniać noży. Producenci noży nie pochwalają i nie wspierają opinii używania noży do morderstw…. Natomiast na portalu sposób opisu poszczególnych wycieków nakłania do popełniania kolejnych, nie ma ani słowa o tym lub chociaż nie jest dawane do zrozumienia, że za każdym razem tak naprawdę dochodzi do popełnienia przestępstwa. Artykuły oraz wywiady dają do zrozumienia, że nie stoisz z boku, tylko jest ciche poparcie i zezwolenie na kolejne ataki. Za to właściciele serwisów są od razu piętnowani w serwisie.

    • @poszkodowani: My też nie pochwalamy wykradania baz danych, ani tym bardziej nie zachęcamy do tego – nie wiem skąd taki pomysł. Zauważ też proszę, że wszystkie wycieki, o których napisaliśmy miały miejsce w styczniu – a dopiero po tym jak “zrobiło się głośno o Jurassic Sec” ludzie zaczęli je ujawniać – i dopiero teraz poszkodowani mogą się o tym dowiedzieć. To nie wywiad z JS spowodował “wycieki” — one były, zawsze (nota bene są i będą), teraz po prostu niektórzy zdecydowali się je ujawnić. Ja osobiście jest jak najbardziej za ujawnianiem tego typu informacji – tylko wtedy można podjąć stosowne kroki (użytkownicy: weryfikujące, administracja: zabezpieczające, organy ścigania: penalizujące)

    • @observer
      Samo wnioskowanie delikwenta bardzo dużo o nim mówi. Dobieranie słów w zdaniu, sens wypowiedzi, logika, emocje, nawet regionalizmy itd. Posiadając odpowiednią wiedzę można się sporo dowiedzieć z kim ma się do czynienia.

    • @poszkodowani Dla was pewnie lepiej, aby nie było tego artykułu, łatwiej byłoby zamieść pod dywan.
      Tak przynajmniej co niektórzy uświadomią sobie, że to co im wydaje się bezpieczne wcale takie nie jest.

    • @kawa
      Masz rację. Ale z mojej perspektywy najpierw skupiasz się na aspektach technicznych ( sposób “dystrybucji” wiadomości – czyli sprawdzenie adresów IP, z których te wiadomości były wysyłane, znaczniki, które są dodawane przez oprogramowanie do komponowania maili itd.) Natomiast analiza językowa treści maila jest raczej elementem pomocniczym mającym postawić przysłowiową kropkę nad i,

  8. @entryGine: łamiesz a nie wiesz co łamiesz ? Co to takiego SH1 ? Nie powinieneś być teraz na lekcjach uczyć się do egzaminu gimnazjalnego bo nic nie rozumiem z Twojej wypowiedzi ?

  9. tak, powinienem teraz siedzieć z głową skierowaną ku nauczycielowi i słuchać to, co do mnie mówi. Masz rację. Nie wiem co to jest SH1. A co masz do gimnazjalistów? Są też tacy gimnazjaliści, co potrafią więcej niż Ty. To, że są niepełnoletni , to nie oznacza, że każdy z gimnazjalistów ma fantazję dzieci w wieku 10 lat.

    • Może i ma fantazję starego dziada, ale pisać po polsku i tak nie umie.

    • SH1? Nie znam się ale chyba chodziło o SHA1…

    • entryGine sprzedaj komputer i kup nowy jak będziesz miał jakieś 18 lat.

  10. – Twoje hasło “qwerty123” zostało zresetowane. Podaj nowe hasło.
    – qwerty123

    • Czy zaktualizowaliście już szczepionkę swojego programu antywirusowego? ;-)

    • Wszystko fajnie… dobre rady ale czasami napotykam się na serwisy, które nie pozwalają na specjalne znaki w hasłach…. A jeśli pozwalają to źle są one wpisywane do bazy i trzeba resetować hasło bo niby jest niepoprawne. KeePass 2 :]

  11. Zbiera mnie na torsje powoli jak o tym wszystkim się dowiaduje. Ok rozumiem “bezpieczeństwo użytkowników” (czyli instruowanie jakie powinny być chociażby hasła i jaka powinna być polityka) to jedno ale do jasnej cholery druga strona także mogłaby zadbać o bezpieczeństwo. Co Wy ślepi jesteście? W większości przypadków zabezpieczenia są po prostu marne. Z resztą nie tylko to mi się nie podoba w tym kraju. Olewa się także np. niewidomych tworząc strony totalnie nieprzystosowane. A podobno jest paragraf na dostęp do informacji i co? I g***o! To tak trudno siąść, obmyślić plan, stworzyć specjalne skórki/wtyczki i wprowadzić (wymusić wręcz) do najpopularniejszych CMS’ów tak aby nawet tamte osoby miały lepiej?

    • Twoja strona jest BARDZZZOOO przystosowana dla osob slabo widzacych….

    • @Capacośtam: zwłaszcza captcha u ciebie jest przystosowana do niedowidzących. Kontrast też do niczego (za słaby). Popraw może własną stronę, a potem narzekaj na innych.

      Albo nie, wracaj do “rozkminiania PESEL-a” albo supertajnym sposobem wykrywania węzłów wyjściowych TOR-a przez exitlist.torproject.org (przecież one się nie ukrywają!)… czy czm tam się zajmujesz.

  12. Mogą stosować nawet pincet razy SHA-512 zaszyfrowane eksblowfish. Jak ktoś ma hasło słownikowe to pomoże tylko salt, a i to nie zawsze.

    • Hmm… jak salt ma zapobiegać atakowi słownikowemu?

    • Sól ani nie musi być doklejana tylko na końcu, ani nie musi być jawna, ani nie musi być taka sama dla wszystkich.
      Not sure if trolling or… Oh, wait.

    • Bo hasło “qwerty” ma inny hash niż qwertyashygfcu7yw38i%$%67272 (qwerty+salt).

    • Przeznaczeniem soli jest utrudnienie (w praktyce: uniemożliwienie) ataku z wcześniej wyliczonymi hashami (w tym rainbow tables). Tylko tyle i aż tyle. W żaden sposób nie broni to przed atakiem słownikowym. Wprowadza jedynie utrudnienie (spowolnienie), że każdy hash musi być łamany osobno, tj. dla każdego hasha musisz od nowa przelecieć cały słownik. Nie zapobiega to jednak atakowi. Tak, sól powinna być losowa (inna dla każdego hasha).

  13. “Tydzień wycieków trwa w najlepsze” – jakich wyciekow, tam z kranu kapie?

    Dla mnie to zwykle wlamanie – idzie ulica koles, wali drugiego pala w leb i ‘wycieka’ mu portfel? – ‘core’ dzialania ten sam, ‘pala’ podmieniona na QWERTY.

    • Muszę się odnieść do tego komentarza bo jest on napisany przez konkretnego debila.

      “Tydzień wycieków trwa w najlepsze” – jakich wyciekow, tam z kranu kapie”

      Nieznasz definicji słowa “wyciek” w kontekscie tematu który jest tutaj prezentowany. A wiec niewiem w jakim celu czytasz tego bloga skoro wiekszości treści poprostu nierozumiesz?
      Wyjaśniając tobie czym jest wyciek. Jest to nieautoryzowane przekazanie informacji niejawnych z komputera lub Datacenter do świata zewnętrznego – internetu.

      “Dla mnie to zwykle wlamanie – idzie ulica koles, wali drugiego pala w leb ”

      Chyba oberwałeś pałą przez łeb bo piszesz jak potłuczony – o czym ty bredzisz człowieku?

    • zauwaz ze w wiekszosci przypadkow ludzie ktorzy publikuja te bazy ich nie wykorzystuja – nie kradna portfela i nie uzywaja jego zawartosci
      oni po prostu pokazuja jakie slabe zabezpieczenia maja takie strony, poza tym nie wiem czy to jest praktyka ale moge sie zalozyc ze kontaktuja sie z wlascicielem i moge sie zalozyc ze 90% z nich twierdzi ze u nich nie ma bledow, dlatego publikacje
      ja uwazam ze takie akcje sa dobre dla mnie jako uzytkownika – wymagaja od mojego operatora zwiekszenia security, a odemnie zmiany hasla na “lepsze”

    • @angelus

      Zauważ, że w większości przypadków nie masz żadnego potwierdzenia dla treści zawartych w swoim komentarzu.

  14. Co to się ostatnio dzieje to ja nie wiem :)

  15. Hmm, niewiem czy ktos z was zauwazyl iz hasla sa solone, o ile sie nie myle (prosze nie bic) teczowe tablice nic nie dadza, gdyz dla hasla “dupa” z sola “1” bedzie inny hash niz z sola “a”, wiec trzeba wyciagac piecyki, odkurzyc karty graficzne i zaczac lamac, aby cos “odzyskac”

  16. co ja pacze?!?

  17. W sumie paragraf zabrania pozyskiwania haseł i kodów dostępu, więc pozyskanie samego hasha paragrafu nie łamie.

  18. Schemat ostatnich ataków ujawnianiających bazy dane łamie jednak pewną hakerską etykietę, która w skrócie zawiera się w niniejszych punktach:
    – znalezienie słabości systemu
    – poinformowanie o odkryciu administratora systemu
    – po zadanym z góry czasie sprawdzenie podjętych przez administratora działań
    – poinformowanie użytkowników systemu o totalnej ignorancji administratora

    Z punktu widzenia hakera, żyjącego mniej więcej zgodnie z etykietą, ludzie publikujący te dumpy są niegodni szacunku i zainteresowania. Z kolei administratorom i użytkownikom, a także twórcom serwisów ostatnie ataki powinny uzmysłowić w końcu, że obecnie wcale nie potrzeba ogromnej wiedzy by skompromitować system, więc co za tym idzie coraz częściej biorą się za to zwykli chuligani (mający wszak o sobie wielkie mniemanie). Edukacja wśród użytkowników i administratorów bardzo wskazana, gdyż – jeśli nie jest to 0day – mamy wiele narzędzi, żeby do takich sytuacji nie dopuścić.

  19. “Sklep SteamKeys.pl jest brandem firmy Macro Games SA.”
    Macro Games SA jest pod adresem: ul. Grabiszyńska 151
    Głównym udziałowcem Macro Games SA jest firma TRO Media SA. Mieści się na ul. Grabiszyńskiej 151. Czy to wszystko w jednym pokoju?
    O prezesie Macro Games na stronie firmy: “Jego fascynacja internetowym światem zaczęła się już w podstawówce. To właśnie począwszy od podstawówki, przechodząc przez gimnazjum oraz liceum wykazywał się ponadprzeciętną wiedzą z zakresu informatyki, kończąc niemalże zawsze z oceną celującą z tego przedmiotu.”
    Może w podstawówce uczyli się o SH1? ;)

    • Takie teksty o o ponadprzeciętnie uzdolnionych dzieciach przypominają mi Pioneer.OS i przechwałki jego “autorów”, Kity i Malana :-)

  20. Sól broni przed atakiem przy użyciu rainbow tables. Solony hash broni nawet hasła słownikowe, jeśli sam hash jest odpowiednio trudny. Jak wyliczenie hasha zabiera sekundę, to dla słownika złożonego z 60 tys. słów masz 1 tys. minut, czyli jakieś 16 godzin na przelecenie całego słownika dla jednego hasła. Jeśli atakujący nie jest specjalnie zdeterminowany, to jest to jakaś ochrona.

    • No jeśli sprawdzenie jednego hasha zajmuje ci całą sekundę, to najwyższy czas zmienić 486 na jakąś mocniejszą maszynę.

  21. Potrzebna jest odporna na przyspieszanie przez gpu funkcja. To się da zrobić. Krokiem w dobrym kierunku jest znany i lubiany schemat scrypt. Ale nawet z samym SHA-512 można sporo zdziałać jak się da odpowiednio dużo iteracji.

  22. […] Włamywaczem jest abu nazir, który znany jest Czytelnikom Niebezpiecznika z włamań do serwisu gram24.pl oraz streamkeys.pl. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: