Używasz Chomikuj.pl? Zmień hasło! Dane logowania do 2 mln kont trafiły na sprzedaż
Aktualizacja: 23-08-2012, 09:34
Najbardziej zagrożeni są użytkownicy Chomikuj.pl, którzy posługiwali się łatwym do odgadnięcia hasłem. Do ich zdobycia wykorzystano bowiem atak brute-force lub słownikowy. Aktualizacja: publikujemy odpowiedzi rzecznika Chomikuj.pl na kilka zadanych przez nas pytań.
O tym, że ktoś próbował w ten sposób dostać się na konta w Chomikuj.pl, wiadomo było od tygodnia. Właściciele serwisu otrzymali e-mail od atakującego, który zagroził opublikowaniem listy odgadniętych loginów i haseł. Przeprowadzono więc akcję prewencyjną, w wyniku której wielu użytkownikom przy próbie logowania wyświetlił się komunikat: Nasze systemy wykryły, że hasło do Twojego konta jest łatwe do odgadnięcia. Ze względów bezpieczeństwa ustal nowe, bezpieczne hasło.
Jak w komentarzu dla Niebezpiecznika zapewnił Piotr Hałasiewicz, rzecznik Chomikuj.pl, nie doszło do żadnego włamania. Nieznany osobnik wszedł w posiadanie danych logowania do poszczególnych kont, stosując atak brute-force (lub słownikowy). Tenże osobnik, kilka dni po resecie haseł w zaatakowanym serwisie, skontaktował się z redakcją Niebezpiecznika, oferując na sprzedaż loginy i hasła do 2 mln kont.
Szczegóły moich metod itp. opisze po wpłacie na konto, oczywiście jeśli potraficie „tuszować przelewy” jeśli nie to gotówka do ręki, za 2 mln kont chciałbym nie tak dużo 15 tys zł - czytamy w liście do Niebezpiecznika (pisownia oryginalna). Podobne oferty miały trafić do redakcji także innych serwisów. Jednym z nich okazał się Spider’s Web, co ciekawe jednak, w tym przypadku atakujący gotów był rozstać się z bazą za 10 tys. zł. Nie wzdragał się też przed anonimowym wywiadem i zapowiadał, że w przyszłym miesiącu zaoferuje „coś grubszego” - dane logowania do ponad 20 mln kont w innym polskim serwisie.
Chomikuj.pl potwierdził już wiarygodność listy. Jako że nie pochodzi ona z włamania, nie zawiera też zbyt wielu danych - są na niej tylko loginy i hasła, bez imion, nazwisk, adresów, e-maili itp. Jak nie bez racji zauważają redaktorzy Niebezpiecznika: Ta lista mogłaby być kąskiem jedynie dla firm z branży audio-video. Użytkownikom Chomikuj.pl zarzuca się bowiem łamanie praw autorskich - mając dostęp do kont, można by sprawdzić, czy rzeczywiście ktoś przechowuje na nich „nielegalne” pliki. Ale dowód, który został pozyskany poprzez popełnienie przestępstwa, to chyba kiepski dowód i pewnie nawet ZAiKS się nie skusi na kupno ;)
To proste. Jeżeli nie załapałeś się na wymuszony reset hasła, to czym prędzej zmień je samodzielnie. Postaraj się, żeby wybrane przez Ciebie hasło było trudne do odgadnięcia (nie, to nie może być imię Twego pupila, zob. Sztuka ustalania bezpiecznego hasła).
Jeżeli zmieniając hasło wcześniej, zignorowałeś dobre rady zawarte w linkowanym wyżej artykule - popraw się i zmień hasło jeszcze raz. Zrób to tym bardziej, jeśli z takiego samego hasła korzystasz w innych serwisach. Dostęp do cudzego konta na Chomikuj.pl nikomu się za bardzo nie przyda, co innego - do skrzynki pocztowej czy serwisu aukcyjnego, takiego jak Allegro.
Jak w odpowiedzi na pytania Dziennika Internautów poinformował Piotr Hałasiewicz, osoba, która metodą brute force pozyskała hasła do 2 mln kont, zwróciła się najpierw do Chomikuj.pl. Zagrożono nam, iż jeśli nie przyznamy grożącemu określonych świadczeń, lista zostanie opublikowana. (...) Nie podjęliśmy negocjacji z szantażystą - nie mieliśmy gwarancji, że po uzyskaniu zapłaty nie wykorzysta pozyskanych haseł w inny sposób - wyjaśnił Hałasiewicz.
Czy Chomikuj.pl planuje powiadomić o tym incydencie policję? Na to pytanie nie uzyskaliśmy konkretnej odpowiedzi. Podejmujemy wszelkie rozsądne kroki mające na celu zabezpieczenie kont naszych użytkowników. Nie mogę ani potwierdzić, ani wykluczyć, że będzie wśród nich także zawiadomienie policji - odpisał rzecznik Chomikuj.pl.
Zapytaliśmy również, czy serwis zamierza wdrożyć jakieś nowe środki bezpieczeństwa, by zapobiec podobnym atakom w przyszłości. Cały czas zachęcamy użytkowników do stosowania trudnych do odgadnięcia haseł. Stosujemy też i udoskonalamy różne metody broniące użytkowników przed takimi atakami, jednak zawsze najważniejszy jest po prostu zdrowy rozsądek - używanie innych haseł niż zbieżne z nazwą konta lub popularnymi zbitkami klawiszy (qwerty) - odpowiedział Hałasiewicz.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|