Polish Vodka Team: wciąż mamy dostęp do Dopalacze.com

Otrzymany wczoraj wieczorem list publikujemy w całości:

"Chcielibyśmy lekko sprostować wypowiedź rzecznika, ponieważ kłamie w wielu kwestiach.

Żaden z plików skryptów wykonawczych nie został skopiowany.

Kod całego sklepu dopalacze.com został skopiowany razem ze zrzutem całej bazy danych użytkowników i ich haseł.

Nie doszło do naruszenia i krzyżowego włamania na pozostałe (zagraniczne) serwery, na których znajdują się bazy z danymi klientów.

Bazy z danymi klientów wcale nie znajdują się na innych, zagranicznych serwerach, całość serwisu, jak i jej baza znajduje się na jednej i tej samej maszynie umieszczonej w data center w Warszawie u firmy hostingowej „dhosting".

Bazy danych są szyfrowane, więc nawet gdyby doszło do ich kradzieży nie ma możliwości rozkodowania ich zawartości.

Bazy danych nie są niczym szyfrowane, wiec mając dostęp do niej, nie musieliśmy rozkodowywać niczego prócz haseł trzymanych w md5. W bazie dopalacze znajdują się zarówno dane personalne kupujących, jak i kwoty zakupów.

Włamania dokonano za pośrednictwem protokołu FTP (złamano hasła dostępowe).

Faktycznie, włamanie upozorowaliśmy tak, by wskazywało na to, iż wykorzystaliśmy metodę BruteForce na protokół FTP, i jak widać skutecznie nam to wyszło. Realia są jednak trochę inne, ale to pozostawimy już dla siebie.

To włamanie pozwoliło nam dostrzec pewne niedoskonałości w poziomie szyfrowania haseł i jak przystało na profesjonalistów wyciągnąć z niego naukę.

Czy jest tak naprawdę? Dostęp do dopalaczy mamy dalej, nic nie zostało poprawione. A nauczki dopalacze.com raczej nie wyciągnie, jeśli 3 dni po włamaniu dalej mamy wejście.

Doskonale zdajemy sobie sprawę, że hakerzy mają możliwości, wiedzę, doświadczenie i przede wszystkim pomysły, o jakich wielu specjalistów może pomarzyć, potrafią włamywać się na o wiele większe serwisy niż nasz, dlatego tak jak pozwiedzałem wcześniej wyciągniemy z tej nauczki wnioski i postaramy się jeszcze bardziej uszczelnić nasz serwis.

Nie jesteśmy hakerami i za takich się nie uważamy. Fakt mamy wiedzę, doświadczenie i pomysły. Dopalacze.com ciężko nazwać serwisem. Do tej pory wnioski nie zostały wyciągnięte.

Do sprostowania załączamy zrzuty ekranów baz danych klientów sklepu dopalacze.com oraz resztę interesujących ciekawostek.

Pozdrawiamy
Polish Vodka Team"

List zaopatrzony był w linki do następujących zrzutów ekranu:

Adresy oraz kwoty ludzi kupujących
Adresy wraz z telefonami
Dane kont, w tym hasła

Więcej informacji nt. włamania można znaleźć w artykule Polish Vodka Team znów w akcji

AKTUALIZACJA - 12.12.2008, godz. 13.10

Piotr Domański, rzecznik prasowy firmy World Wide Supplements Importer, do której należy zhackowany serwer, poprosił redakcję Dziennika Internautów o zamieszczenie następującej informacji: "Polish Vodka Team odnosi się do oświadczenia Zarządu Dopalacze.com. Rzecznik prasowy przesłał w niezmienionej formie oficjalne stanowisko Zarządu Dopalacze.com. Rzecznik prasowy nie jest autorem przesłanego pisma, a więc nie kłamie i nie jest kłamcą".