Artykuły dotyczące tematu: wyciek

dodany: 10.06.2013 | tagi: , ,

jor.pl padł ofiarą ataku – wyciekła baza klientów

16
jor.pl

Dostawca tanich usług hostingowych, jor.pl, padł ofiarą ataku, którego skutkiem był wyciek bazy danych klientów firmy  – blisko 2000 rekordów z danymi osobowymi, adresami e-mail i haszami haseł, a w wielu przypadkach z hasłami zapisanymi czystym tekstem(!).

Dump został opublikowany na forum POLIGAMIA i zgłoszony do nas przez użytkownika lucypher, którego serdecznie pozdrawiamy. Oczywiście zrzutu bazy nie publikujemy zarówno na stronach WebSecurity, jak i PasteBin.

Zaznaczenie_025

Nie znamy szczegółów na temat uzyskania zrzutu bazy danych. Publikując tę informację, zgłaszamy ją jednocześnie do administratorów jor.pl z prośbą o potwierdzenie informacji i ewentualne szczegóły incydentu, jeśli takowe zostały odnotowane.

Komentarz administratora jor.pl:

Winą był zewnętrzny skrypt adminpanel.pl z którego korzysta wiele hostingów.
Sprawa została zgłoszona na policję, a klienci mają wygenerowane nowe hasła.

Z wyrazami szacunku,
Adam Mikura,
Biuro Obsługi Klienta Jor.pl

dodany: 10.05.2013 | tagi: , ,

Wyciekł zarys nowej książki autorki „Seksu w wielkim mieście”

0

Candance Bushnell autorka opowieści o (delikatnie mówiąc) nie do końca realistycznych przyjaciółkach, których problemy i perypetie zaczynają, a już na pewno kończą się na seksie lub nowej parze butów od słynnego Manolo, padła ofiarą własnego zaniedbania kwestii bezpieczeństwa swoich danych i hakera Guccifera.

Guccifer włamał się na konto na Twitterze autorki oraz uzyskał dostęp do 50 stron szkicu jej nowej książki – „Zabijając Monicę”. Następnie opublikował tweeta z linkiem prowadzącym do tego tekstu:

candacetwitter

 

Jakby strat było mało, Guccifer postanowił zamieści w sieci zrzuty ekranu przedstawiające prywatną korespondencję między autorką, wydawnictwem i fanami.

Najprawdopodobniej pisarka nie była na tyle przezorna i miała w kilku miejscach to samo, łatwe do odszyfrowania hasło lub haker wyłudził je przez phishing.

Przechowując tak poufne dokumenty, jak szkic nowej książki autorki, której poprzednie „dzieła” sprzedały się w multi milionowych nakładach, trzeba mieć się szczególnie na baczności.

Nikt nie lubi, gdy jego prywatne czy też poufne dane zostają ujawnione. Szczególnie jeśli gotowy „produkt” może nas wzbogacić o grube miliony dolarów.

dodany: 08.04.2013 | tagi: , ,

Wyciek danych z Plej.tv

1

Jak podaje portal Niebezpiecznik, grupa pod nazwą Cryptex.Team włamała się na serwer serwisu Plej.tv i wykradła bazę danych zawierającą dane uwierzytelniające jego użytkowników.

Plej.tv to następca Wlacz.tv – bezpłatnej platformy streamingującej telewizję online. Dzięki niej można nadawać własne kanały telewizji w Internecie i je odbierać (w ofercie np. Polo TV, Mango24, kanał poświęcony Marcie Stewart albo Cezikowi czy telewizje regionalne). A w kręgach byłych użytkowników Wlacz.tv, Plej.tv to wróg publiczny numer 1.

Wykradzione zostały imiona i nazwiska użytkowników, ich adresy e-mail, adresy IP i hasze haseł.

Cryptex.Team wysłała do Niebezpiecznika dowody wycieku bazy danych oraz wiadomość:

Powszechnie wiadome jest, że serwis plej.tv (telewizja internetowa) jest kontynuacją złodziejskiej strony wlacz.tv, która pozyskała pieniądze od internautów, a następnie po miesiącu (pod pretekstem prac technicznych) zamknęła serwis. Dnia 27.03.2013 grupa Crytpex.Team dokonała ataku na serwery plej.tv. Wykryliśmy kilka błędów, które dały nam możliwość dostania się do bazy i root’a.Dane jakie zostały przejęte, to pełny katalog serwisu, baza danych (43000 userów), 23 potwierdzenia przelewów. Plej.tv dostał 2 tygodnie na powiadomienie swoich użytkowników o przejęciu ww. danych – zignorowali sprawę, co za tym idzie, nie zależy im na bezpieczeństwie użytkowników.

 

Niebezpiecznik próbował skontaktować się z właścicielem serwisu Plej.tv, ale nie doczekał się odpowiedzi. Udało się za to skontaktować z właścicielem platformy Wlacz.tv i wyjaśnić, czy faktycznie Wlacz.tv i Plej.tv to tożsame serwisy. Właściciel stwierdził, że grupa Crypto.Team kłamie i, że serwis Plej.tv nie ma nic wspólnego z Wlacz.tv. Twierdzi, że hasła w jego serwisie były szyfrowane inną metodą (MD5), a screen bazy danych, dostarczony jako dowód przez Crypto.Team, pokazuje tabele, których baza danych Wlacz.tv nie miała.

 

dump.jpg-1600×900

Skradzione dane użytkowników serwisu Plej.tv.
Źródło: Niebezpiecznik.pl.

 

plejtv2

Budowa tabel w bazie danych Plej.tv.
Źródło: Niebezpiecznik.pl.

 

Jeśli jesteście użytkownikami tej platformy lub jeśli jesteście tam zarejestrowani, natychmiast zmieńcie swoje hasła dostępu.

A jeszcze lepiej usunąć konto z tak podejrzanego serwisu.

dodany: 13.03.2013 | tagi: , , ,

FBI zajmuje się wyciekiem wrażliwych danych amerykańskich celebrytów i polityków

2

Hakerzy postanowili podzielić się ze światem wrażliwymi informacjami zawierającymi numery ubezpieczenia, historie kart kredytowych, obecne i poprzednie adresy zamieszkania, a nawet stan zadłużenia i numery telefonów amerykańskich celebrytów i polityków.

Wszystko zostało zebrane na jednej stronie internetowej o wdzięcznej nazwie The Secret Files. Podane tam dane są odpowiednio przypisane do ofiary wraz z jej zdjęciem.

Dane tam zamieszczone są na tyle wrażliwe i dotyczą jednych z ważniejszych osób w USA (wraz z celebrytami), że Departament Sprawiedliwości postanowił oddelegować FBI do zbadania całego zajścia.

Jak dotąd wygląda na to, że wiele prywatnych informacji pochodzi z nielegalnie uzyskanych raportów od spółek Equifax, Experian i TransUnion. Według agencji Bloomberg, hakerzy pozyskali raporty zbierając prywatne dane o celebrytach i politykach z Internetu i innych źródeł. Uzbrojeni we wstępne informacje, byli w stanie podszywać się pod ofiary i oszukiwać  witryny zajmujące się raportami kredytowymi, co w konsekwencji skończyło się przejęciem pożądanych informacji.

Oczywiście firmy zaczęły wysyłać oświadczenia zawierające przeprosiny za zaistniałą sytuację.

Nie wiadomo dokładnie, jak wiele z informacji zamieszczonych na The Secret Files jest prawdziwych oraz kiedy dokładnie zostały zebrane. Według Politico raporty zostały wygenerowane tydzień temu. Obecnie konto The Secret Files na Twitterze zostało zawieszone.

Takie praktyki zbierania danych o ofiarach, często z wykorzystaniem inżynierii społecznej i umieszczanie tych danych na stronach internetowych, nosi miano doxxingu i jest porównywane do działania paparazzich, z tą różnicą, że ten rodzaj „zawodu” nosi miano cyberpaparazzi.

Wśród ofiar hakerów, poza Pierwszą Damą USA Michelle Obamą, znaleźli się: wiceprezydent Joe Biden, dyrektor FBI Mobert Mueller, Prokurator Generalny USA Eric Holder, Hilary Clinton, Mitt Romney, Szef Policji Los Angeles Charlie Beck, Sarah Palin, Donald Trump, Beyonce, Jay Z, Kanye West, Kim Kardashian, Hulk Hogan, Ashton Kutcher, Arnold Schwarzenegger, Al Gore, Tiger Woods.

dodany: 11.12.2012 | tagi: , , ,

1,6 miliona danych zhakowanych przez GhostShell

0

GhostShell był jedną z najbardziej aktywnych grup hakerskich w tym roku. Wczoraj na Pastebin pojawiła się długa wiadomość wspominająca tegoroczne ataki, wraz z pełną ich chronologią i szczegółowo opisująca najnowsze działania. Jednym z nich było zhakowanie i zrzucenie ponad 1,6 mln rekordów między innymi z NASA, ESA (Europejska Agencja Kosmiczna), Pentagonu i Rezerwy Federalnej USA. Grupa poparła w swoim poście działania Anonymous w sprawie Światowej Konferencji Międzynarodowej Telekomunikacji, które są protestem przeciwko potencjalnemu przejęciu Internetu przez ITU.

#ProjectWhiteFox zakończy tegoroczną serię ataków promujących haktywizm na całym świecie i zwracających uwagę na wolność informacji w sieci. Dla tych dwóch czynników przygotowaliśmy soczysty zrzut  1,6 miliona kont/rekordów z takich dziedzin jak: lotnictwo, nanotechnologie, bankowość, prawo, edukacja, administracja, wojsko, wszelkiego rodzaju dziwaczne firmy pracujące dla korporacji i departamentu obrony, linii lotniczych i innych.

Jak zwykle w takich przypadkach trudno udowodnić wagę wszystkich zrzuconych danych. Christopher Brook z KasperskyLab podał wczoraj, że ujawnione dane wydają się być zrzutem nazw, haseł (niektóre haszowane), jakieś zwykłe teksty – życiorysy, loginy adminów, numery telefonów oraz adresy e-mail. ZDNet dodało, że dane mogły być uzyskane przez SQL injection. Losowy wybór plików zawiera adresy e-mail i domowe, testy materiałów obronnych i uwagi do ich analizy, listy mailingowe, hasła i nazwy. Wiadomość na Pastebinie zawiera listę witryn i adresów URL, gdzie znaleźć można wykradzione dane.

Wstęp całej wiadomości pełen jest złośliwości wobec firm wywiadowczych i dostawców zabezpieczeń. Czyżby TeamGhostShell zapomniała, co stało się z LulzSec po ich zaczepkach skierowanych w stronę FBI? A podobno mieli być inni, lepsi. Może ta „lepszość” ma się odnosić do większej zdolności do ucieczki przed organami prawa?

dodany: 03.12.2012 | tagi: , ,

Jak pozyskać Twoje dane w 2 krokach?

3
Jak pozyskać Twoje dane w 2 krokach?

Korzystacie z 2be.pl? Wasze dane mogą być zagrożone! Nasz czytelnik powiadomił nas, że wystarczą 2 kroki, aby pozyskać informacje o użytkownikach serwisu.

Nasz czytelnik powiadomił nas, że na swoim blogu zamieścił post, w którym pokazał, że do pozyskania pełnych danych osobowych użytkowników serwisu 2be.pl wystarczą 2 kroki. Co zrobić, żeby poznać czyjeś:  imię, nazwisko, e-mail, numer telefonu, adres zamieszkania
i PESEL?

Zaloguj się i… zmień właściciela

Żeby poznać dane innego użytkownika serwisu rejestrującego domeny, należy:

  1. zalogować się do serwisu i w panelu użytkownika zaznaczyć opcję: „zmień właściciela”,
  2. należy podać login innej osoby, która ma konto w systemie – w domyśle nowego właściciela domeny.

Dane są Twoje!

Po „zmianie właściciela” system wygeneruje wzór dokumentu do wysłania faxem lub mailowo do firmy 2be. Znajdziemy w nim wszystkie informacje o nowym właścicielu domeny.

Odpowiedź od 2be

Nasz czytelnik po wykryciu błędu kontaktował się z pracownikiem firmy 2be przez czat online, a następnie z Biurem Obsługi Klienta. Odpowiedź od głównego administratora uzyskał 1 grudnia na swoim blogu:

Dziękujemy na zwrócenie uwagi na działanie opcji zmiany właściciela. Opcja ta została wyłączona w systemie po otrzymaniu informacji od Pana i ich upublicznieniu w celu zapobiegania ewentualnemu nadużyciu po Pana publikacji. Przeanalizujemy logikę systemu związaną z cesją domeny.

Czy wiedzieliście, że pozyskanie Waszych danych może być tak proste?

dodany: 21.11.2012 | tagi: , ,

Dzień z życia księcia i jego konsekwencje

1

Jest to news z cyklu: „Jak to jest, gdy grupa od PR nie wie, co robi” . Wczoraj na stronie internetowej księżnej i księcia Cambridge pojawiły się zdjęcia księcia Wiliama zatytułowane „Dzień z życia porucznika Walesa”. Wszystko było pięknie,  następca tronu pokazany jako pilot ratunkowy RAF w swojej jednostce, czekający na każde wezwanie. Niestety ktoś popełnił błąd. Błąd, który mógł mieć poważne konsekwencje.

Na jednym z opublikowanych zdjęć porucznik Wales uśmiecha się do swoich współpracowników. Niby nic, ale kartka wisząca nad głową porucznika zawiera treści, o których raczej nie powinniśmy wiedzieć. Kartka zawiera login i hasło do wojskowych sieci RAF. Na kolejnym widzimy jak książę skupia się trzymając w ręku dokument, a mistrzem drugiego planu są kolejne wrażliwe dane przyklejone do obudowy komputera, na którym pracuje brytyjski książę. Na kolejnym widać monitor z informacjami, które pewnie też mogłyby za dużo wyjawić.

Po informacji o tym, co znajduje się na zdjęciach, zostały one szybko zastąpione ich zmodyfikowanymi wersjami. Jednak jako środek zapobiegawczy Ministerstwo Obrony Narodowej podjęło decyzję o zmianie nazw użytkowników i haseł dla wewnętrznych systemów RAF.

Rzeczniczka MON powiedziała w oświadczeniu, że zdjęcia porucznika Walesa zostały zrobione w czasie służby jako pilot helikoptera ratunkowego w siedzibie RAF w Anglesey. Hasła i nazwy użytkowników pokazane na zdjęciach są zresetowane jako środek ostrożności, a MON jest zadowolony ze zmiany zdjęć na takie, które nie naruszają przepisów bezpieczeństwa. Wszystkie zdjęcia zostały zmienione i ponownie opublikowane. Organizacje medialne są proszone o korzystanie ze zdjęć ponownie opublikowanych.

Jak wiadomo, rzecz raz wrzucona do sieci – nigdy nie ginie, zdjęcia bez retuszu obiegły już cały świat. Poniżej znajduje się jedno ze zdjęć bez retuszu:

oraz to samo zdjęcie po retuszu:

Zastanawiamy się, gdzie były zastępy PR-owców towarzyszący księciu na każdym kroku. Ktoś przecież musiał autoryzować takie zdjęcia. Nie chce się wierzyć, że nikt nie zauważył, że tak wrażliwe dane zostaną opublikowane. A wszystko po to, żeby pokazać gawiedzi, jak wygląda jeden dzień pracy księcia Wiliama.

dodany: 12.10.2012 | tagi: , , , ,

PlaySpan zhakowany

0

PlaySpan, serwis dostarczający i sprzedający gry oraz obsługę płatności mikro-transakcji za wirtualne dobra w niezliczonej ilości gier, w tym np. World of Tanks został zhakowany, a dane ok. 2 milionów użytkowników zostały upublicznione, razem z adresami e-mail oraz zaszyfrowanymi hasłami.

Znacie już procedurę. Jeśli hasło pojawia się w więcej niż jednym miejscu, poza tym zhakowanym, należy wymienić wszystkie hasła na nowe. Dotyczy to również tych 2 milionów użytkowników, których konta są już nieaktywne, a że jest ich dość sporo ok. 1 883000 to radzę już zabrać się do pracy.

Dobrą informacją jest to, że nie ma śladu po kradzieżach danych kart kredytowych czy o transakcjach w ogóle, ale niczego nie wiadomo na pewno, bo śledztwo wciąż trwa.

Kiedy PlaySpan odkryło naruszenia bezpieczeństwa, natychmiast zamknięty został dostęp hakerów do systemów oraz podjęło kroki w celu ochrony kont klientów PlaySpan

– powiedział Develop rzecznik PlaySpan, a także dodał, że:

Rozpoczęto kompleksowe analizy kryminalistyczne i pracę z organami ścigania w celu zbadania zbrodni. Zapobiegawczo zablokowano wszystkie konta użytkowników i zamknięto stronę Marketplace PlaySpan. Bardzo przepraszamy za wszelkie niedogodności, frustracje, które wywołał ten incydent u naszych klientów. Wiemy, że istnienie firmy PlaySpan zależy od zaufania naszych klientów. Bezpieczeństwo jest naszym najwyższym priorytetem i podwoiliśmy nasze wysiłki w celu wzmocnienia ogólnego bezpieczeństwa system PlaySpan.

 

dodany: 06.08.2012 | tagi: ,

Co grozi za upublicznianie danych osobowych?

2

Niebezpiecznik.pl poinformował, że TaxCare upublicznił dane 2400 klientów. Ile może kosztować przedsiębiorcę taka wpadka?

6 sierpnia serwis Niebezpiecznik.pl umieścił w serwisie informację, że katowicki oddział firmy TaxCare, wysyłając wiadomość do swoich klientów, upublicznił ich dane.

To nie jest odosobniony przypadek. W lipcu Krakowska Politechnika popełniła ten sam błąd, upubliczniając dane 190 kandydatów na studia. Po publikacji na temat TaxCare, Niebezpiecznik zaczął otrzymywać kolejne doniesienia o ujawnianiu poufnych danych.

Czy za ujawnienie tych danych, wymienionym firmom i instytucjom grożą jakieś konsekwencje? Żeby odpowiedzieć sobie na to pytanie sprawdźmy, czy popełniły one przestępstwo.

Kwestie te reguluje ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych. W tym miejscu nasuwa się pytanie, czy e-mail jest taką daną. Zgodnie z treścią art. 6 tego rozporządzenia, „(…) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (…)”. Zgodnie z tym, jeśli wśród upublicznionych adresów e-mailowych klientów TaxCare znajdowały się takie, które składały się z imienia i nazwiska lub tylko nazwiska, to zostałyby uznane za dane osobiste. Zresztą, nie tylko w przypadku takich e-maili można mówić o danych osobistych. Jeśli mail zawierałby nazwę jednoosobowej działalności gospodarczej i np. czyjeś imię, to byłby daną osobową, jeśli dzięki niemu łatwo byłoby znaleźć jej właściciela (np. poprzez stronę internetową).

Przedsiębiorca/instytucja może mieć problemy także wtedy, jeśli nie zgłosił/a bazy danych osobowych do Głównego Inspektora Ochrony Danych Osobowych (GIODO). Co mu/jej za to grozi? „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2” (art. 49 ust. 1 ustawy). Karalne jest także „administrowanie zbiorem danych” i przechowywanie ich „w zbiorze (…) niezgodnie z celem utworzenia zbioru” (art. 50 ustawy). Za to grozi grzywna, kara ograniczenia lub pozbawienia wolności do roku. W art. 51 ust. 1 ustawy możemy przeczytać: „kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”. Kara spotka nawet taką osobę, która „działa nieumyślnie”. Grozi jej grzywna i ograniczenie lub pozbawienie wolności do roku (art. 51 ust. 2 ustawy). Tę samą karę poniesie również ten, kto nie zabezpiecza danych w odpowiedni sposób, a więc nie chroni ich „przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem” (art. 52). W art. 53 możemy przeczytać, że „kto (…) nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”. To nie wszystko. Osoby pokrzywdzone również mają swoje prawa. Mogłyby wystosować pojedyncze lub zbiorowe pozwy z art. 23 kodeksu cywilnego, czyli dotyczącego ochrony dóbr osobistych.

Inne, pozaprawne konsekwencje, jakie mógłby ponieść przedsiębiorca, to utrata klientów. Po pierwsze mogliby oni uznać, że nie dba się o ich dane osobiste tak jak o to, aby sprzedać im produkty i usługi. Po drugie, tak sporą bazę danych klientów na pewno umiejętnie mogłaby wykorzystać konkurencja, oferując np. atrakcyjniejszą ofertę.

Jak widać, maleńki błąd polegający na umieszczeniu adresów odbiorców e-maila w nagłówku „To:” lub „CC:”, zamiast „UDW:” lub „BCC:”, może kosztować przedsiębiorcę lub instytucję bardzo dużo. Pieniędzy, nerwów, wolności.

Niebezpiecznik.pl informację wraz ze screenem e-maila otrzymał od swoich katowickim czytelników.

Źródło: http://niebezpiecznik.pl/post/wpadka-taxcare-upubliczniono-dane-2400-klientow/