HISTORIA UJAWNIENIA KRADZIEŻY DANYCH NA WYKOPIE

Osoba podpisująca się na Wykopie jako Gimbus1xD poinformowała wczoraj, 5 września 2009 r., o kradzieży danych dostępowych użytkowników Wykop.pl oraz wykorzystaniu niektórych z tych danych do włamań na konta poszkodowanych w innych serwisach.

Na dowód swoich rewelacji Gimbus1xD przedstawił zrzuty ekranu z konta e-mail jednego z użytkowników Wykopu, na które - jak twierdzi - kilka dni temu dokonano włamania. Jak wynika ze zrzutów ekranu, włamano się także na konto Allegro tego użytkownika i 3 września br. dokonano z niego co najmniej kilkunastu zakupów przeróżnych rzeczy.

Gimbus1xD opublikował także zrzut ekranu z fragmentu skradzionej bazy danych. Jak twierdzi, sam jest w posiadaniu tylko części rekordów z tej bazy (około 40%), ale za to z odkodowanymi już hasłami. W komentarzach na Wykopie udowodnił kilkukrotnie, że posiada odkodowane hasła niektórych użytkowników. Jak twierdzi Gimbus1xD, złamano hasła "z linuksowych słowników i brute forcem do 7 znaków".

Cała baza jest podobno w posiadaniu administratorów strony vichan.net, którzy udostępnili jej odkodowaną część m.in. moderatorom ich serwisu oraz Gimbusowi, który ujawnił całą sytuację.

Jakie są motywy działania Gimbus1xD? Jeden z uczestników tej rozmowy podpisujący się na Wykopie nickiem joejestmniejszyniz3 zarzuca Gimbusowi w komentarzach, że też brał w niej udział, ale został zbanowany i dlatego zdecydował się na ujawnienie wszystkiego. Co więcej, zdaniem joejestmniejszyniz3 za włamaniem na konto Allegro oraz e-mail, którego zrzuty ujawniono, stoi właśnie Gimbus1xD. Kilku innych użytkowników w komentarzach podaje odnośniki do zapisów z rozmów dyskredytujących Gimbus1xD.

Jednak gdyby nie wpis Gimbus1xD, pomijając jego motywy, to czy użytkownicy Wykopu kiedykolwiek dowiedzieliby się, że ich poufne dane zostały wykradzione? Czy Wykop zdecydowałby się ujawnić informację o włamaniu i kradzieży, zdając sobie sprawę, jak szkodliwa dla wizerunku tego serwisu byłaby ta informacja?

HISTORIA KRADZIEŻY DANYCH WEDŁUG PRZEDSTAWICIELI WYKOPU

Przedstawiciele serwisu, po kilku godzinach od zamieszczenia wpisu Gimbusa na Wykopie i setkach komentarzy zaniepokojonych użytkowników, wysłali mailing do użytkowników informujący o kradzieży bazy i zachęcający do zmiany haseł oraz wydali oświadczenie na swoim blogu. Wynika z niego, że włamania na serwer testowy Wykopu dokonano kilka tygodni temu. Skradziono wówczas bazę zawierającą dane dostępowe do serwisu Wykop.pl użytkowników zarejestrowanych do 31 marca 2009 roku.

Przedstawiciele Wykopu nie podają dokładnie, kiedy dokonano kradzieży. Data ostatnich zarejestrowanych w tej bazie wskazuje na początek kwietnia. Ponieważ kradzieży dokonano z serwera testowego, na którym przygotowywana jest nowa wersja serwisu, można założyć, że konta użytkowników nie były tam aktualizowane na bieżąco i włamanie mogło wydarzyć się później.

Wykop twierdzi, że po kradzieży włamywacze próbowali szantażować serwis.

Pewna osoba poinformowała nas o błędzie. Zapewnił nas o braku złych intencji pod warunkiem "nietykalności". Ta osoba zachowała się honorowo, więc i my się tak zachowaliśmy wobec niej. Tego samego dnia jednak, doszedł do nas mail szantażysty, więc chcieliśmy za pomocą organów ścigania, doprowadzić do zatrzymania tej osoby, zanim dane przedostaną się do kolejnych osób. Dopiero po tym fakcie chcieliśmy poinformować Was o konieczności zmiany hasła - pisze Tomasz Drożdżyński z Wykop.pl w odpowiedzi na komentarze użytkowników serwisu do wpisu informującego w końcu o włamaniu.

W związku z szantażem Wykop powiadomił o zajściu policję. W kradzież zaangażowani są nie tylko Polacy, ale także obcokrajowcy. Z uwagi na prowadzone przez policję dochodzenie, które wykracza poza granice naszego kraju, właściciele Wykopu twierdzą, że otrzymali od policji "zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób". Współpracę podjęto także z działami bezpieczeństwa różnych serwisów, m.in. Allegro.

Wykop nie podaje także, kiedy dokładnie poinformowano policję o włamaniu i kradzieży danych. Czy stało się to od razu po zidentyfikowaniu włamania, czy dopiero kiedy włamywacze zaczęli szantażować serwis? A może dopiero kiedy kradzież wyszła na jaw po publikacjach Gimbus1xD? W komunikacie serwisu czytamy tylko, że

cała nasza firma, mimo weekendu (bieżącego weekendu - przyp. red.), jest w tej chwili postawiona w stan najwyższej gotowości. Jesteśmy w ciągłym kontakcie telefonicznym z organami ścigania oraz z działami bezpieczeństwa m.in. Allegro.

Jeszcze później w komentarzu Tomasza Drożdżyńskiego z Wykop do omawianego wpisu czytamy:

Zawiodło ludzkie niedopatrzenie, z którego wyciągnąłem już konsekwencje. Od kilku godzin siedzimy nad sprawą, jednak oficjalne stanowisko mogłem napisać dopiero teraz, ze względu na wspomniane śledztwo.

Od kiedy tak naprawdę Wykop wie o włamaniu? Kilka tygodni czy kilka dni? W sumie nie ma to większego znaczenia, gdyż rzekomy zakaz policji i polityka utrzymywania w tajemnicy włamania i kradzieży danych dostępowych wydaje się z punktu widzenia najbardziej poszkodowanych - czyli osób, których poufne dane zostały skradzione - niedorzeczna.

W końcu skradziono m.in. hasła, które użytkownicy powinni jak najszybciej zmienić po włamaniu, by złodzieje nie mogli ich wykorzystać i narobić szkód. Jak dowodzi opisany wyżej przykład włamania na konto Allegro i poczty e-mail, baza z danymi i odszyfrowanymi hasłami trafiła w wiele rąk i cały czas może być wykorzystywana. Czy policja nie potrafiłaby namierzyć włamywaczy po śladach, które zostawili podczas włamania, tylko musi czekać, aż wyrządzone zostaną kolejne szkody? W czyim interesie tak naprawdę było utrzymanie tej informacji w tajemnicy?

Tomasz Drożdżyński z Wykop.pl twierdzi w komentarzach na swoim serwisie:

Dobro użytkowników jest zawsze dla nas najważniejsze, jednak w tym przypadku było ono tożsame z dobrem śledztwa. To naprawdę skomplikowana sytuacja, nie mogłem ryzykować. Założyłem, że uda nam się szybko schwytać szantażystę i zapobiec wyciekowi danych do osób postronnych.

(...) Przyjmując, że bazę danych wykradła 1 osoba, postanowiliśmy najpierw złapać tą osobę, a później naprawić skutki tego błędu.

To tak jak z epidemią. Ważniejsze jest złapanie nosiciela, nie robiąc paniki wokół niego, niż zrobić reklamę w TV: "uważajcie na epidemię". Niektóre nasze działania, mogłyby po prostu zaszkodzić.

Drożdżyński dalej wyjaśnia, że serwis wyszedł z założenia, że dopóki ktoś szantażuje, dopóty nie zrobi ze skradzionej bazy użytku. Przedstawiciele serwisu obawiali się także, że gdyby przypadkiem szantażysta otrzymał od Wykopu e-mail z powiadomieniem o konieczności zmiany hasła, to mógłby zauważyć, że jego pozycja w "negocjacjach" maleje i mógłby próbować szybko zarobić na naszej bazie, np. odsprzedając ja komuś innemu.

Hasła były oczywiście zahashowane, ale jak udowodnił już Gimbus1xD, wiele z nich udało się już odszyfrować. Co gorsza, baza z rozszyfrowanymi hasłami trafiła już - zdaniem Gimbus1xD - w ręce różnych osób.

Co więcej, w bazie danych znajdowały się nie tylko loginy i hasła, ale także e-maile. Ponieważ wciąż wiele osób używa tych samych haseł do różnych kont, zagrożenie włamania także na inne serwisy jest tym większe. Niebezpieczeństwo istnieje także wówczas, jeśli ktoś nie używał takich samych haseł w innych serwisach, ale za to używał takiego samego hasła na Wykopie oraz w poczcie e-mail. Wiele serwisów wciąż przesyła bowiem zapomniane hasła na e-mail osoby zarejestrowanej.

Czy z takich sytuacjach nie ma jednego sprawdzonego wyjścia? Dla każdej ze stron tego zdarzenia najlepsze wyjście jest inne. W interesie użytkowników było jak najszybsze poinformowanie o kradzieży ich haseł i konieczności ich zmiany, także w innych serwisach. W interesie Wykopu - im dłużej o sprawie cisza, tym mniejsze szkody na wizerunku i szansa, że przy pozytywnym wyniku negocjacji nic nie wyjdzie na jaw. Nie chodzi o zmianę hasła na Wykopie, tylko o pozostałych miejscach, gdzie możesz używać tego hasła. Nie da się tego zrobić dyskretnie - pisze Drożdżyński w jednym z komentarzy.

WNIOSKI, JAKIE WARTO WYCIĄGNĄĆ Z TEJ SPRAWY

Podjęcie odpowiedniej decyzji przez serwis, z którego skradziono dane użytkowników, nie jest proste i właściciele takiej witryny stoją przed nie lada wyzwaniem. Wpływ na decyzję mają różne czynniki, w tym przypadku doszedł m.in. szantaż i negocjacje oraz nadzieja serwisu na dogadanie się ze złodziejem. Sytuacja nie do pozazdroszczenia.

Dodatkowo ciąży też świadomość, że kradzież haseł w obecnych czasach może wywołać efekt domino - czyli włamań na konta kolejnych serwisów. Wszystko przez częstą praktykę stosowania jednego hasła do różnych konta.

Wniosek nasuwa się jeden: użytkownicy internetu powinni dbać o swoje bezpieczeństwo sami, m.in. stosując różne hasła na różnych kontach.

Wnioski dla administratorów serwisów dobrze przedstawił na swoim blogu Piotr Konieczny, specjalista od bezpieczeństwa, we wpisie Hasła użytkowników Wykop.pl wyciekły.

Jeśli chcesz sprawdzić, czy do sieci wyciekło także Twoje hasło i czy jest dostępne online w postaci zahashowanej skorzystaj z Hash Code Generator, a potem wyszukiwarki Google.

Strony, z których informacje zostały wykorzystane w powyższym artykule:

Informacja Gimbus1xD o kradzieży bazy danych wykopu na pokazywarka.pl

Wpis na Wykopie: Wyciekła baza danych wykopu!

Oświadczenie Wykopu: Włamanie na testowy serwer Wykopu