18:31
25/2/2012

Grupa JurassicSec, która wczoraj opublikowała kilka tysięcy haseł do polskich skrzynek pocztowych nie próżnuje. Na jej koncie w serwisie Twitter pojawił się link do danych ok. 1500 studentów. Dane te, jak informuje jeden z naszych czytelników najprawdopodobniej pochodzą z Akademii Morskiej w Szczecinie.

Jurassic Sec publikuje dane polskich studentów

Opublikowana przez JurassicSec lista zawiera takie informacje jak: Imię, nazwisko, adres e-mail, hash hasła, adres zamieszkania, numer telefonu, datę urodzenia oraz numer ewidencyjny, najprawdopodobniej z jakiegoś uczelnianego systemu.

Dane Studentów

Wyciek danych studentów

Jak informuje jeden z naszych czytelników, dane te najprawdopodobniej należą do studentów Akademii Morskiej w Szczecinie. Jeśli ktoś z Was jest studentem Akademii Morskiej w Szczecinie, dajcie znać, z jakiego systemu pochodzą te dane.

Aktualizacja
Udało nam się dodzwonić do jednej z osób z listy. Dane pochodza z systemu Wirtualnej Uczelni Akademii Morskiej w Szczecinie(Biura Karier). Osoba, z którą rozmawialiśmy skończyła tę uczelnię już 2 lata temu. Numer N-XXXX pojawiający się przy niektórych nazwiskach, to oznaczenie Wydziału Nawigacji na tejże uczelni. Wyciek potwierdziła także uczelnia, a sprawa została przekazana organom ścigania.

Wszystkim znajdującym się na liście studentom sugerujemy szybką zmianę hasła do wszystkich swoich kont, w których korzystali z tego samego hasła jak to używane w systemach Akademii Morskiej.

Ciekawe co jutro opublikuje JurassicSec…?


Przeczytaj także:



75 komentarzy

Dodaj komentarz
  1. That’s just plain wrong :|

  2. Jutro opublikują bazę danych przedszkolaków z wszystkich publicznych przedszkoli. Ot co.

  3. Adresy i telefony mogli sobie darować.

  4. A gdy wkleić tą informację na ich stronie na FB, po chwili znika… :) Czyżby te same osoby były odpowiedzialne za e-dziekanat i stronę na FB? :)

  5. Studenci w tym kraju są traktowani przez uczelnie jak śmieci nie od dzisiaj. Kolejki, biurokracja, niesprawne systemy informatyczne (usos). Ot, trochę danych wypłynęło, wielkie mi halo, wracać do kolejki!

    • usos/usosweb to sprawne systemy. to ci, którzy je obsługują w dziekanatach, są niesprawni:/

  6. Kolejna banda dzieciakow…

  7. Trochę off topic, odnośnie “screenshota” w newsie.
    Przyznaję, że zastanawiam się nad tym pomarańczowym paskiem zasłaniającym 13 z 32 cyfr hasha. Przypuszczam, że pozostałe (widoczne) 19 cyfr wystarczyłoby do określenia hasła z całkiem niezłym prawdopodobieństwem, szczególnie jeśli użyć by słownika.
    Tak więc powstaje pytanie: Czy ten pomarańczowy pasek na pewno spełnia swoje zadanie zakrycia hashy? Czy może pełni funkcję tylko i wyłącznie symboliczną? :)

    • To tylko takie teoretyczne zabezpieczenie, całą listę z łatwością znajdziesz w google ;)
      Niebezpiecznik tylko “nie rozpowiada dalej”.

    • @Gyn pewnie masz rację, ale osoby które będą wiedziały jak to zrobić, zapewne i tak potrafią sobie dojść do nieocenzurowanej listy z odkrytym hashem…

      BTW, a pomarańczowe paski dlatego, że nie jestem pewien czy publikowanie niezakrytych danych osobowych (nawet jeśli to screenshot z innego serwisu) jest legalne (bo nie mam wątpliwości co do tego, że jest to niemoralne). Dlatego w naszych wewnętrznych wytycznych nie zmienimy póki co punktu odnośnie “nakazu” zakrywania tego typu “wrażliwych” informacji.

    • nie trudno to znalezc. ps. ich wklejki maja dobre staty ;x juz z 10 000 k w jeden dzien

  8. oho, to skoro takie rzeczy się dzieją to czekam na to, aż gdzieś znajdę swoje hasło z uczelni finansowanej przez MON :)

  9. “Ciekawe co jutro opublikuje JurassicSec…?”

    Hasła do niebezpiecznik/wp-admin ;>

  10. Widzę tam masę swoich znajomych. Na pierwszym miejscu koleżanka z grupy. Jest także moja rodzina. Mnie ominęło… Będzie się działo!

  11. Zastanawia mnie ta cała sytuacja z publikowaniem danych, jaki ona ma cel, co chcą osiągnąć i za kogo oni się uważają?

    • fir3 i jego kumple proszą się o niezły wpier#0l, już e-wpi3rd0l im nie wystarcza.

  12. Po raz kolejny został wykorzysyany jakiś bug na znanego CMS-a Jak joomla, WordPress i inne badziewia a w sieci znowu “MEGA HACKING TEAM” HACKED 2 MLN ACCOUNT ściema dla dzieci …

    • no ty jestes mega hakerem i uzywasz ze wszystko trzeba pisac samemu. jak bys mial zyc robiac wszystko samemu…

    • Badziewia.. mam WordPressa od lata – aktualizowany + htaccess na wp-admin i co.. nie było włamu :( przynajmniej te CMS mają społeczność a taki naskrobany przez gimnazjalistę nie ma społeczności i najczęściej X razy więcej bugów..

    • Zarówno w WP jak i w każdym innym oprogramowaniu (np. Google Chrome) błędy się zdarzają – do tego trzeba przywyknąć. My zdajemy sobie sprawę, że kiedyś i nam podmienią stronę, jeśli na WP wyjdzie jakiś 0day i ktoś nam nieprzychylny zauważy go wcześniej niż my. Oh well… ;) por. https://niebezpiecznik.pl/post/jeden-0day-na-wordpressa-i-lezymy/

    • Zgadza się. I najlepszym zdarzają się wpadki, kwestia tylko tego, jak szybko po nich się podnoszą.

  13. Ciekawsze już by były jakieś dane dotyczące machlojek, haseł do kont bankowych naszych uszanowanych posłów ;p

  14. Nawiasem pisząc dlaczego serwis poświęcony bezpieczeństwu korzysta z “*UJPressa” ?

    • A co, powinniśmy stracić pół życia na pisanie i support własnego frameworka? :)

    • uwazasz ze w pelni zaktualizowany wordpress bez pluginow jest zly? dlaczego? masz 0-day-a? bo mi sie wydaje ze NIC nie masz a tylko sapy

    • tak tak, kto mając 0day będzie robił deface na jakiegoś blogaska o security? 0daye się sprzedaje i potem leci na Hawaje ;)

    • A co, kolega z konkurencyjnego obozu chce reklamować produkt?

    • Kolego Krux. Jedni sprzedadzą 0-day, inni wykorzystają do dogodzenia sobie/autopromocji. Ludzie są różni ;)

  15. Mam prośbę do Redakcji. Jeśli znacie jakiegoś prawnika to zapytajcie go, czy w takim wypadku można pozwać uczelnię.

    • Możesz pozwać uczelnię, tylko z jakiego powództwa, dziurawego systemu?
      To nie oni upublicznili dane. Możesz zgłosić doniesienie do prokuratury za podanie prywatnych (ścisłych) danych podając właśnie link do tego źródła. Tu już nie są przelewki, bo tu chodzi o kilkaset osób. Szczególnie adresy i telefony. To już jest przegięcie pały!!! Ja na ich miejscu tak bym zrobił i wcale bym się nie szczypał.

    • Właśnie z powodu nieprawidłowego zabezpieczenia danych, do których ochrony byli zobowiązani.

    • Poczytaj o GIODO i konieczność zgłaszania i rejestracji każdej bazy danych osobowych. Oraz wymogów dotyczących bezpieczeństwa tejże. Na podstawie niedopełnienia tych obowiązków możesz pozwać uczelnię prywatnie jak i złożyć skargę do GIODO.

    • @artig70
      Nie ździwiłbym się gdyby takim zgłoszeniem narobił więcej szkody sobie niż tym co to udostępnili.

    • @Madao
      Oczywiście możesz, masz takie prawo. Należy też wziąć pod uwagę, że żaden system, nawet ten najlepiej dopracowany, nie jest bezpieczny, jeżeli najsłabszym ogniwem okazuje się … człowiek! W zasadzie nie wiadomo, czy dane wyciekły po włamaniu, czy może ktoś dał dostęp lub czy też nie jest to wynikiem sabotażu? To powinno być wynikiem śledztwa, raczej żmudnego.

      @Rolek
      Myślę, że przy pozwie zbiorowym na nic by się zdały zabiegi szukania odwetu, łatwo to będzie wykryć i powiązać później. Pozostaje tylko kwestia, czy Ci wszyscy poszkodowani zdecydowali by się na to?

  16. Mój poprzedni komentarz nie wiadomo dlaczego nie przeszedł moderacji… ale mimo to potwierdzam. To Akademia Morska w Szczecinie. Na liście jest masa moich znajomych – już poinformowanych o fakcie. Będzie burza.

    • Zwracam honor redakcji. To jakieś lagi – komentarz się pojawił.

    • @Michał: To nie lagi ale posty wymagają moderacji ;) Dlatego też dopiero po zatwierdzeniu się pojawiają.

  17. Jakież to szczęście, że Allegro wyszukiwarką swą nie daje odszukać użytkownika swego po mailu jego.

  18. Co to jest ten e-dziekanat?

    • Jakiś system do zarządzania. Może to ktoś kto się tam uczył (jest jednym z członków) ;x

  19. Hmm.. chlopaki cos stare dane publikuja… zgadywalbym ze to nie ich robota tylko sobie pozbierali z roznych wklejek cudza robote, odczekali kilka miechow i teraz puszczaja zeby zrobic troche szumu dookola siebie :P

    • No w końcu JurassicSec :P

  20. Macie racje … Akademia Morska w 100% .. Ale bedzie burza na uczelni w poniedziałek ;p … dobrze że mnie nie ma na tej liście , ale za to moi znajomi są … Powtórzę słowa z postów w/w .. Będzie się działo ;p

  21. Też widzę na liście swoich znajomych :D
    A studenci tej uczelni tak się lansują… uważają się za elitę, może ktoś chciał ich trochę przygasić ;)

    • Z tego co widze to fanatycy panienek z Tajlandii ;)

  22. Chętnie bym sprawdził czy na niej jestem.

    • pogoogluj i znajdziesz listę :P

  23. hasla dotycza tego systemu:
    wu.am.szczecin.pl
    aktualnie serwis lezy wiec pewnie administratorzy zdjeli w obawie przed dostepem

  24. Słyszałem już wcześniej o działaniu tej grupy. Rok temu przed zaatakowaniem Politechniki Wrocławskiej pojawiło się na fejsię fikcyjne konto: http://www.facebook.com/profile.php?id=100002115452935, następnie około tydzień przed atakiem na AM Szczecinie pojawiło się konto: http://www.facebook.com/profile.php?id=100003505492046. Niem wiem czy właścicielą tego konto służy one do czegoś jako narzędzie (fecebook jest dobrą drogą do hakowania bo jest oparty na javie) czy tylko do podglądania efektu ich ataku poprzez czytanie komentarzy ich ” znajomych” którzy są studentami tych uczelni…

    • Facebook jest oparty na javie ? A nie na PHP kompilowanym przez hiphop do C++ ?

    • Dobry do hackowania bo na javie?
      Rozwiń myśl, bo nie nadążam.

  25. Znając polskie “hacking timy” siedmiu i ośmiu boleści:
    1. sql injection w CMS
    2. internal attack (np. tak jak ja to robiłem: rpc sploity na lan w uczelni i wio, dziekanat stoi otworem,… bo to jednym ;) )

    Na resztę pytań, chętnie odpowie Państwu dziekanat specjalistycznej jednostki wyszkolonych profesjonalistów z uczelni;)

    Poszukiwaczom skarbów proponuje dodatkowo przegląd wyników z :
    *** site:pastebin.com

    Pozdrawiam

  26. Dane może i są stare (wg danych z nk studenci z lat 2005-2009), ale część hashy daje się złamać, a niektóre hasła nadal pasują do kont pocztowych, nk.pl, allegro czy facebooka. Tylko na facebooka trudniej się zalogować – trzeba research zrobić z danych delikwenta (nazwisko rodowe matki) lub z rozpoznawania ludków na zdjęciach ;-)

  27. Ciekawe efekty daje krótka analiza tych hash’ w Google. Okazuje się, że zakładając konto był wymóg podania przynajmniej jednej cyfry. Słownik+rainbow to kilkanaście sekund dla większości tych haseł. Oczywiście dla tych hashy które nie zostały wcześniej złamane, bo tych w googlach jest pełno.

  28. To nie tylko Akademia morska, są też ludzie z Uniwersytetu Szczecińskiego :)

    • Ktoś wspominał, że dane mogą pochodzić z “biura karier”.

  29. Do GIODO skargi zgłasza się składając osobisty podpis. Dziurawy system to jedno, ale dlaczego uczelnia nie zabezpieczyła danych osobowych ludzi, którzy już na niej nie studiują?

  30. Na Pastebin jest też w piątek opublikowana lista ~5100 kont email razem z hasłami. Większość to wp.pl, o2.pl i interia. Zmieńcie swoje hasła. ;-)) WP już zablokowało konta.

  31. Tam jest oprogramowanie dziekanatowe firmy Partners in Progress z Rzeszowa o nazwie Uczelnia.XP. To samo oprogramowanie jest na AGH. Ciekawe kiedy dane z AGH wyciekną.

  32. Akademia Morska w Szczecinie ustosunkowała się do wycieku: http://am.szczecin.pl/index.php?action=view&id=1909&module=newsmodule&src=%40random4c444c78d5d05

  33. Witam, z tego co widze moje dane sa na tej liscie. Jedyne dwa portale prowadzone przez Akademie Morska do ktorych się logowalem to biurokarier akademi morskiej oraz system o ile dobrze pamietam msidn aliance z ktorego serwerow mozna było pobrac darmowe oprogramowanie typu office lub windows (na podstawie umowy uczelni z bodajze microsoftem)

  34. Jesli wyciekly dane osobowe, to administratorowi groza jakies dwa lata, oskarzenie z urzedu, zadna prywatna skarga nie jest potrzebna. Karane jest generalnie wadliwe zabezpieczenie danych, nie tylko takie, ktore skutkowalo wyciekiwm p. Nielegalne pozyskiwanie hasel to tez kilka latek (269b k k).

  35. Jeżeli to faktycznie system firmy PiP z Rzeszowa to lista ich klientów jest dość długa http://www.partnersinprogress.pl/strona.aspx?id=105,11

  36. Jestem absolwentem tej uczlelni, od poczastku mowilem ze troche za slabo z zabezpieczeniami. Mnie akurat nie ma na liscie dostepnej na pastebin ale za to sporo moich znajomych. Dane te moim zdaniem na 99% sa z wu czyli z wirtualnej uczelni, a juz na 100% tymi danymi mozna sie na nia zalogowac… numer n-xxxxx to nic innego jak n – wydzial nawigacja a xxxxx nr indexu studenta. Masakra jak mozna sobie pozwolic na taki blad, jak mam w glowie to wiem ze w serwisach tego typu daje haslo w miare dobre ale jednoczesnie nie korzystam z niego gdzie indziej, ale np jeden ze znajomych na tej liscie to samo haslo ma i na fb, na nk i @. lAdmin sie nie popisal…

  37. Ja jeszcze nie znalazlam sie na tej liscie ale własnie konczę AM i nie jestem z tego co widze i czytam zadowolona,poniewaz tam jest bardzo duzo dnych moich znajomych i podanie adresow to troche przesada

  38. Ja jestem z lat kiedy nie dzialal zaden wirtualny dziekanat a jestem na tej liscie. Moje dane to musza byc z biura karier… tak na sucho to im nie przejdzie…

  39. Program pochodzi z systemu Partners in Progress z Rzeszowa. Tak to sie konczy jak program na IIS dziala z prawami administratora systemu. Potwierdza to moją niską ocenę programów z rzeszowa, sa nie pisane lecz wyklikiwane przez studentow, ktorzy jak się nauczą o co chodzi odchodzą z firmy. Masa bledow, a ceny za oprogramowanie, usługi itp. olbrzymie (jak za SAPa). Tak to jest jak się skupia na wyciaganiu kasę od klientow zamiast skupić nieco na jakości.

    • To raczej nie z systemu Partners in Progress. Wiele osób potwierdza, że to z Biura Karier.
      Biuro Karier AM stało na “Apache/2.2.16 (Debian) Server at biurokarier.am.szczecin.pl Port 80” – ale jak widać jest w tej chwili ciągle zablokowane na poziomie .htaccess

  40. Śmieszą mnie komentarze pseudospecjalistów na tej stronie. Czytanie ze zrozumieniem oraz umiejętność wyszukiwania stron WWW są im obce. Włamanie było ze strony biura karier, a “miszczami” programowania są (tadam): locatelo.crazybeaver.net/blog/Serwis_Biura_Karier_Akademii_Morskiej_w_Szczecinie__4

  41. […] do Akademii Morskiej w Szczecinie [por. Wyciek danych 1 500 studentów — przyp. red.]… Nie mielismy (i nie mamy) zlych zamiarow. Na tacy zostawilismy […]

  42. Jurajskie “coś tam” to ściema – nie ma żadnego bot-netu. Wypływ danych to efekt bezpośredniego dostępu do bazy. Polecam zabawę z http://crazybeaver.net/admin/login.php Kto pierwszy ten lepszy ;)

  43. […] co dzieje się na przestrzeni ostatnich kilku dni wspaniale pokazuje, dlaczego warto jest mieć osobne hasła do […]

  44. Nieźle. Wszystkie produkcje crazybeaver mają tę samą metodę logowania administracyjnego… Za 2 dni na pastebinie pojawią się nowe zbiory ;)

    • Tzn? Przeglądam sobie ich strony i przeważnie po dodaniu /admin pojawia się okienko przeglądarki z żądaniem użytkownika i hasła. Naprawdę przez takie zabezpieczenie tak łatwo się przebić?

  45. […] ataku przyznała się grupa JurassicSec (znana z opublikowania baz z danymi studentów Akademii Morskiej). Atakujący skomentowali to tak: “Koko koko euro spoko, przegraliśmy i jest spoko” […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: