23:03
21/11/2015

Awaria popularnego w Polsce serwisu nielegalnego“darmowego” streamingu wideo, kinoman.tv, doprowadziła dziś do ujawnienia adresów e-mail jego użytkowników wraz z ich hashami haseł.

Kod źródłowy zamiast filmów…

Jak poinformował nas jeden z czytelników (dane do wiadomości redakcji), dziś po godz. 20:00 błąd w skryptach serwisu kinoman.tv umożliwiał podejrzenie kodu źródłowego serwisu (czyżby wynik prac na produkcji?). Kopię kodu znaleźć można serwisie pastebin.pl. Jego analiza ujawnia nie tylko szczegóły połączenia do bazy danych:

kinoman_tv-haslo

oraz szereg podejrzanych skryptów reklamowych, w tym listę facebookowych stron, którym serwis nabijał “lajki”:

kinoman_tv-facebook

Dodatkowo, w trakcie awarii, próba wejścia na jakikolwiek materiał (np. http://kinoman.tv/film/skazani-na-shawshank), w kodzie strony można było zauważyć dane na temat użytkownika, który “wgrał” film na serwis (a tym samym, w wielu przypadkach złamał prawo, dopuszczając się “udostępniania” treści chronionych prawem autorskim). Pozyskać można było:

  • adres e-mail
  • hash hasła
  • adres IP użytkownika (rejestracji)
  • adres IP użytkownika (aktualny)
  • imię i nazwisko
  • datę urodzenia
  • numer GG
  • ID konta na Facebooku

kinoman_tv

Miałem konto na kinoman.tv — co robić, jak żyć?

Jeśli byłeś użytkownikiem serwisu kinoman.tv, i w dodatku na tyle nierozsądnym, aby założyć konto na prawdziwe dane oraz wgrywać materiały ze swojego prawdziwego adresu IP — mamy smutną wiadomość — Twoje dane mogły zostać pozyskane przez organizacje antypirackie lub policję.

Nie mamy niestety precyzyjnych informacji jak długo dane osobowe użytkowników ich adresy IP i hashe ich haseł znajdowały się w kodzie strony, ale mogło to być nawet 6 godzin. Wnioskujemy po różnicy czasu od pierwszego zaindeksowania przez Google “zepsutej” strony z kodem źródłowym, do chwili, w której serwisowi zaczął się przyglądać nasz czytelnik:

kinoman_tv-google

Czy to wystarczyło, aby o błędzie dowiedziały się organizacje antypirackie oraz służby i zdążyły zrobić “backup”? Czas pokaże… Natomiast zaniepokojonym użytkownikom Kinoman.tv już teraz polecamy lekturę naszego artykułu z cyklu “Poniedziałek z Prawnikiem” pt. O piractwie — czyli co można a czego nie można ściągać z internetu? oraz jego kontynuację, czyli odpowiedzi na pytania internautów z zakresu “udostępniania i pobierania” materiałów chronionych prawem autorskim. Niektórym może też przydać się także odcinek traktujący o tym, jak zachowywać się w trakcie przeszukania lokalu przez policję — na wszelki wypadek warto się więc z nim zawczasu zapoznać :-)

BONUS: CloudFlare nie pomógł “zakryć” adresu IP

Efektem ubocznym wycieku kodu źródłowego jest też ujawnienie adresu IP serwisu. Choć serwis “chowa” się za usługą CloudFlare, to w kodzie znaleźć można adres serwera bazodanowego 94.75.221.138, który znajduje się w LeaseWeb. Czy na adresie IP nieopodal znajduje się też serwer WWW?

To nie pierwszy raz, kiedy na skutek nieudanej aktualizacji frameworka lub niefortunnych zmian dokonywanych bezpośrednio na produkcji, w kodzie strony pojawiają się wrażliwe dane na temat użytkowników lub wręcz sam kod źródłowy serwisu. Podobne incydenty zanotowało Allegro, Onet i mBank.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

18 komentarzy

Dodaj komentarz
  1. Ujawnione dane dotyczą tylko osób wgrywających filmy?

    • tak. to nie byl sqli tylko zle parsowanie kodu. na stronie z filmem wylatywaly dane uzytkownika ktory go upnal.

  2. W sieci już od tamtego roku jest też coś takiego:
    http://pastebin.com/0waLtMTz

    :)

    • hmm to jest ten sam wyciek … z tego co widze IP mysql pasuje haslo z pierwszego obrazka tez

  3. A jesteście pewni co do daty?

    Sprawdziłem i wyszło mi, że Gogle widziało ten bład już 8 września 2015r.

    http://i68.tinypic.com/2vtwd5j.png

  4. Nie pierwszy przypadek w ciągu ostatniego miesiąca gdzie w tym serwisie coś wycieka.
    Jakiś czas temu zamiast filmów w zakładce filmy była cała tablica z bazy danych zamiast filmów.

    Nic nowego. kinoman.tv już się nie nadaje do oglądania filmów, czy seriali trzeba szukać czegoś innego aby żyć bezpiecznie.

    Całe szczęście nigdy się nie rejestrowałem na kinoam.tv

    • A to niby dlaczego oglądanie (bez konta) nie jest bezpieczne?

  5. ‘; $buffer .= $indent . ‘ Posiadasz lepszy link? ‘; $buffer …
    http://www.kinoman.tv/this-life/s01e06/odcinek-6-263
    10 godzin temu – … db_prod [database] => kinoman [username] => kinoman [password] … newkino [username] => root [password] => ogkEAOIMfiof [persistent] .

    ghck cos takiego zwraca jeszcze,dobra mirki przyznawac sie ktory to strzelil backupa :d

    • Łap szczęście bo znów się wysypałł.

      Przy okazji: ciekawy adres to 46.105.113.165 . ESXi 6

      No i masz babo placek.

    • ja pierdziele, root

  6. Przecież Policja i tak może sobie pozyskać te dane jeżeli ma nakaz, a o niego nie trudno, więc to, że coś wyciekło jest bez znaczenia. Do tego dowód w postaci “pana ip było na stronie” to żaden dowód.

    Jakby organizacje antypirackie chciały zlikwidować piractwo to już by to zrobiły.

    • serwery polskich Ipeków na kajmanach, ciekawe jak

    • Normalnie, od ISP.

  7. “Najlepsze praktyki” konfiguracji serwera i aplikacji, ot co.

  8. A po co korzystać z jakichś polskich niepewnych serwisów z filmami (i pewnie jeszcze płatne smsami, albo trzeba maila podać), jak jest darmowy, bez konieczności logowania się, podawania maila, zakładania konta, itp. – putlocker.is. Korzystam z niego od roku i jest super – wchodzi się, wybiera się film jaki chce i od razu ogląda, bez hasła/logowania, bez opłat, bez reklam (adblock); dobre też jest to, że filmy są w oryginale, bez durnego polskiego lektora i bez polskich napisów (chociaż dla niektórych to może i wada)

    • Artykuł jest o wrzucających filmy a nie je oglądających. Oglądanie filmów jest w PL legalne.

  9. Tak się zastanawiam czy osoby których dane zostały ujawnione mogą żądać jakichś odszkodowań? :D
    I czy tak pozyskane dane są legalne?

    • Odszkodowania niby na jakiej podstawie? Czy te osoby podpisały z serwisem jakąś umowę? Jeśli nawet są jakieś warunki, na które trzeba się zgodzić aby korzystać z serwisu, to pewnie chronią one interesy usługodawcy, a nie ludzi, którzy wgrywają treść na ich serwery (i tym samym łamią prawo o ochronie praw autorskich).

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: