Masowe włamania na konta webd.pl?

[MateO]

Dotarły do nas anonimowe informacje o rzekomo udanym ataku na serwery jednej z polskich firm hostingowych (webd.pl). Ataku w wyniku którego miało dojść do wycieku blisko 15000 danych osobowych użytkowników, wraz z hasłami dostępowymi do kont ftp oraz cPanel.

Ataku miała podobno dokonać grupa ""Polish Vodka Team" używając błędu SQL Injection.

Na jednej z podmienionych storn "Polish Vodka Team" pisze:

"Chcieliśmy poinformować wszystkich klientów Firmy Webd PL, że firma nie dba o bezpieczeństwo serwerów a ponadto bezpieczeństwo i poufność danych swoich klientów.

WSZYSTKIM KTORZY POSIADAJA KONTA NA SERWERZE WEBD.PL ZALECAMY ZMIANE HASEL

CALA BAZA KLIJENTOW WRAZ Z LOGINAMI I HASLAMI WYPLYNELA W SWIAT a FIRMA WEB.PL ZAPRZECZYLA TEMU ZAJSCIU!"

Na razie ani nie zaprzeczamy, ani nie potwierdzamy tej informacji, czekamy na oficjalne stanowisko firmy w tej sprawie.

Co o tym sądzicie?

[kaspsior]

..................... ...

[kosiarz]

No oni to się raczej nie przyznają ze ktoś się do nich włamał ale z drugiej strony jeszcze nie widziałam żadnych dowodów żeby komuś to udało, ale jest to bardzo prawdopodobne.

[MateO]

Kilku moich znajomych otrzymało ostatnio od firmy Webd.pl takiego oto maila:

Witamy!
Otrzymujesz tego maila poniewaz haslo ktorego uzywasz do serwisu Webd.pl
jest identyczne z tym ktore zostalo ustalone podczas skladania zamowienia.
W trosce o bezpieczenstwo panstwa danych haslo zostalo zmienione na nowe
Aby poprawnie zalogować się do panelu nalezy podać nastapujące dane:

[Mad_Dud]

Kilku moich znajomych otrzymało ostatnio od firmy Webd.pl takiego oto maila:

Przypomina się awantura z myspace.com
Do dziś można złapać plik z loginami/hasłami ... niektóre nadal aktywne.

Ciekawe, czy tym razem plik z danymi wypłynie.
btw, czy ktoś widział bazę danych Pirate Bay? Admini PB twierdzą, że zaszyfrowana baza userów jest nie do odczytania... :-)

Takich akcji będzie coraz więcej. Tego typu "dane" się kupuje. Nie wykluczam też akcji na zlecenie ;-)

[asanoki]

Screeny znajdują się tutaj

http://cc-team.org/data/news/Bucked.gif
http://cc-team.org/data/news/webd.jpg
http://cc-team.org/data/news/Bucked1.gif

Pełna news na cc-team.org.

[TQM]

No i prosze... ktos pytal o dowody?

Problemow z cala sprawa jest jak dla mnie wiecej...

1. Firma webd.pl zaprzecza i bedzie zprzeczac - no coz - dbaja o swoje interesy, szkoda ze nie w ten sposob co nalezy... no ale to ich decyzja...

2. Strona manifestu (screen w poscie powyzej) mowi ze baza wyplynela w swiat - no coz, to jest przestepstwo... jak dla mnie takie samo jak niewlasciwe jej zabezpieczenie przez firme webd.pl - jak rozumiem baza zawiera dane osobowe a w Polsce (i calej EU) obowiazuje prawo dotyczace ochrony danych osobowych. Nie wiem jak to wyglada w Polsce aktualnie (nie jestem prawnikiem ani nie pytalem zadnego prawnika jeszcze), ale w UK jesli moje dane by wyplynely (nie daj Boze jeszcze ktos narobi szkod jako 'ja') to moge taka firme pozwac i dopiero bedzie wesolo... przy 15k pozwow o odszkodowania - powodzenia... R.I.P.

3. Jeden z wazniejszych problemow, to jak pokazac firmie w skuteczny i wiarygodny sposob ze dala ciala? Chyba nie ma takiej drogi... Skopiowanie bazy, ktora jest jednym z najmocniejszych dowodow jest przestepstwem - nawet jesli baza zostalaby wyslana na CD do firmy jako dowod... Telefoniczna prosba zakonczy sie fiaskiem - przynajmnie w Polsce - jestem tego pewien... Naglosnienie sprawy w mediach - trzeba pokazac dowody - co wiaze sie znowu np. z baza (wiec przestepstwo)... i tak dalej, kolko sie zamyka...

Ogolnie ciezki temat :-( dopuki nie znajdzie sie jakis zapis prawny (a moze juz jest), ze kazda firma ma obowiazek chronic swoich klientow (ochrona danych osobowych, wlasnosci intelektualnej - strony WWW, itd).

Wydaje mi sie, ze w zaistnialej sytuacji wypadaloby (jako firma) posypac glowe popiolem, podziekowac tym, ktorzy dziure znalezli, zabrac sie za zabezpieczanie systemu, powiadomic klientow ze znaleziono i zalatano dziure oraz ze uprasza sie klientow o zmiane hasel 'dla pewnosci'...

Sporo zastanawialem sie tez nad kwestia czy i jesli tak to w jaki sposob upubliczniac takie informacje... Firmy ktore nie postepuja jak opisalem wyzej (czyli wiekszosc firm na swiecie) beda zaprzeczac faktom dopuki nie zostana postawione przed reflektorami mediow, ktore beda mialy dowody w rece - tylko czy media sa tym zainteresowane?!


Tak jak napisalem, nie mam powodow nie wierzyc ze hack jest prawdziwy... podoba mi sie przeslanie ze strony hackerow Hacking dla sztuki i poprawy sytuacji, nie dla siania zniszczenia jak uwielbiaja to pokazywac media...

Moze wlasnie takie akcje pokaza ludziom (przy pomocy mediow), ze hacker nie jest taki zly jak go media maluja...

Gratulacje dla hackerow, pozdrowienia dla firmy webd.pl (proponuje przemyslec swoje dzialania - przyznac sie do bledu nie boli i kosztuje mniej niz jego ukrywanie - wiem po sobie) oraz jej klientow.

Tym optymistycznym akcentem koncze swoj przydlugawy, filozoficzno-ekonomiczny i prawdopodobnie nikomu nie potrzebny wywod i znikam sprawdzic swoje systemy ot tak 'dla pewnosci'