Do sieci wypłynęły dane 700 tys. użytkowników serwisu Filmweb. "Informuję was jako pierwszych" - napisał Czytelnik, podając trzy linki do różnych stron hostujących pliki. Pod każdym z odsyłaczy można było znaleźć loginy, zahashowane hasła oraz e-maile osób zarejestrowanych w portalu.

>> Czytaj także: Hashowanie haseł użytkowników - czy to konieczne?

Według Piotra Koniecznego, konsultanta ds. bezpieczeństwa współtworzącego serwis Niebezpiecznik.pl, sporo skrótów haseł można "odwrócić" przy pomocy najprostszych tęczowych tablic. Na podstawie samej bazy nie da się jednak określić, w jaki sposób atakujący wszedł w jej posiadanie. Za najbardziej prawdopodobne należy uznać atak SQL injection, dziurę w systemie operacyjnym serwera, a także uzyskanie dostępu do pliku z backupem serwisu.

Warto wspomnieć, że Filmweb niedawno odpalił nową wersję serwisu - to może sugerować, że atakujący znalazł i wykorzystał do ataku jakieś pozostałości po developerskiej wersji serwisu, które nie zostały usunięte z „produkcji” - pisze Konieczny (zob. Filmweb.pl hacked! Wciekło 700 tys. haseł użytkowników).

>>Czytaj także: Nowy Filmweb.pl stawia na cztery strony główne i Gustomierz

Informację o wycieku przesłaliśmy już do redaktorów Filmwebu. Sprawa jest analizowana, zaraz po otrzymaniu komentarza artykuł zostanie zaktualizowany.

Aktualizacja

Malwina Grochowska, Brand Manager Filmwebu, przekazała nam oficjalne stanowisko serwisu na temat nieuprawnionego dostępu do danych:

Wyrażamy ubolewanie z powodu zaistaniałej sytuacji, którą teraz wnikliwie analizujemy. Na obecnym etapie nie są znane przyczyny wycieku danych. Hasła użytkowników były zakodowane, co utrudnia ich odczytanie. Na razie nie otrzymaliśmy zgłoszenia od jakiegokolwiek użytkownika, że osoba nieuprawniona korzysta z jego profilu na Filmwebie. Pomimo to niezwłocznie rozpoczęliśmy proces resetowania wybranych haseł oraz wprowadzamy dodatkowe zabezpieczenia, aby wszyscy użytkownicy mogli być w 200% pewni, że nikt poza nimi nie będzie miał zarówno teraz, jak i w przyszłości dostępu do ich profilu.

Traktujemy zaistniałą sytuację bardzo poważnie, po dokładnej analizie nie wykluczamy zawiadomienia prokuratury o możliwości popełnienia przestępstwa. Zespół Filmwebu dokłada wszelkich starań, aby obecna sytuacja nie miała niekorzystnego wpływu na użytkowników oraz bieążce funkcjonowanie portalu.

>> Czytaj także o innych wyciekach danych w DI

Osobom, które nie zmieniły jeszcze hasła w Filmwebie, radzimy zrobić to jak najszybciej. Najbardziej zagrożeni są użytkownicy, którzy posługują się takim samym hasłem także w innych serwisach. Jak podkreśla Piotr Konieczny, atakujący w pierwszej kolejności sprawdzą, czy za pomocą odszyfrowanych haseł można zalogować się na odpowiadające im konta e-mail.

W serwisie Niebezpiecznik.pl został udostępniony formularz, który umożliwia zweryfikowanie, czy nasze dane znajdują się w skradzionej bazie. W pole wyszukiwania należy wpisać adres e-mail, który posłużył do założenia konta w Filmwebie (hashe haseł nie będą ujawniane). Twórcy wyszukiwarki (serwis tophack.pl) zapewniają ponadto, że nikomu nie udostępnią wprowadzanych adresów.

>> Czytaj więcej: Filmweb: Skradziona baza użytkowników pochodzi z 2008 roku