Ostatnio głośno jest o pojawiających się w sieci plikach zawierających ukradzione loginy i hasła do popularnych serwisów, więc dorzucimy także coś od siebie. Właśnie wszedłem w posiadanie świeżego pliku zawierającego prawie 10 000 loginów i haseł do domen firm onet.pl, wp.pl, interia.pl, o2.pl. Niezwłocznie poinformowałem wszystkie firmy z prośbą o weryfikację autentyczności danych. Zobaczymy jak poradzą sobie z problemem.
Statystyki liczby skradzionych haseł:
439 – onet.pl.txt
1332 – interia.pl.txt
2922 – wp.pl.txt
4636 – o2.pl.txt
Co gorsza witryna, na której znalazłem te dane posiada także listy na przykład 3 000 loginów i haseł do kont ssh /część na konto administratora/, ponad 50 kont ftp, ponad 5 000 błędów typu Local File Include, ponad 1 000 witryn z błędem SQL Injection i pliki wynikowe zawierające dane zebrane z trojanów Zeus. Albo ktoś kogoś nie lubi i wystawił wyniki jego zabaw w sieci albo ktoś się zagapił i zapomniał zabezpieczyć katalogów dostępowych do tych danych :]
Szczegóły zostaną ujawnione w późniejszym okresie.
Aktualizacja:
1) W serwisie niebezpiecznik.pl możecie wpisując swój adres mail sprawdzić czy jest na liście skradzionych haseł.
2) Ważne jest nie postrzeganie słowa wyciek jako wycieku z portali. Hasła wyciekły od kogoś kto je zdobył najpewniej wykradając je innej osobie tudzież bezpośrednio od zainfekowanych złośliwym oprogramowaniem systemów użytkowników i wystawił na WWW.
3) Szybka analiza statystyczna pierwszych 50 haseł:
90 — 123456
29 — polska
28 — matrix
26 — qwerty
22 — zaq12wsx
22 — monika
22 — 12345
20 — marcin
19 — misiek
18 — master
15 — samsung
15 — marcin1
15 — 111111
13 — myszka
13 — michal
13 — lukasz
13 — haslo
13 — dragon
13 — diablo2
13 — bartek
12 — qwe123
12 — maciek
12 — damian
12 — agnieszka
11 — mateusz
11 — 1q2w3e
11 — 123456789
10 — robert
10 — polska1
10 — piotrek1
10 — nokia
10 — kamil1
10 — 1qazxsw2
10 — 123qwe
10 — 121212
9 — tomek1
9 — slonko
9 — natalia
9 — monika1
9 — kocham
9 — karolina
9 — karol1
9 — haslo1
9 — dominika
9 — daniel
9 — 666666
8 — wojtek1
8 — piotr
8 — komputer
8 — dominik
31 komentarzy do
26 czerwca, 2010 o godzinie 15:38
O, widzę, że wieść się niesie po ircu :) napisalismy na prędce mały skrypt do sprawdzenia, czy jest sie na „liscie” zlodziejaszkow, jakby ktos chcial sie sprawdzic, lezy u nas.
26 czerwca, 2010 o godzinie 17:10
przy okazji, przejrzyj sobie Borys reszte softu na tym serwerze i zobacz gdzie sie toto laczy… o_O
26 czerwca, 2010 o godzinie 18:03
oczywiscie piotr konieczny, oczywiscie
27 czerwca, 2010 o godzinie 19:47
Odpowiedzi jakie otrzymałem od serwisów:
Onet:
Dziękujemy za informacje. Natychmiast po zgłoszeniu podjęliśmy odpowiednie działania zmierzające do ograniczenia skutków ujawnienia tego typu danych.
Interia:
Nasz dzial bezpieczeństwa analizuje problem i w niedługim czasie podejmie odpowiednie kroki.
O2 oprócz automatu, że zarejestrowali i WP nie odpisali po ponad 24 h od zgłoszenia. Na pewno moje wiadomości czekają w SPAMie ;]]]
28 czerwca, 2010 o godzinie 13:57
WP:
W imieniu Wirtualnej Polski pragnę serdecznie podziękować za szybką reakcję i przesłanie do WP zgłoszenia dot. publikacji kont i haseł użytkowników WP w Internecie.
Wirtualna Polska podjęła jeszcze tego samego dnia (sobota 26 czerwca 2010) działania mające na celu zweryfikowanie prawdziwości opublikowanych w Internecie danych oraz uzupełnienia informacji o ew. kolejne listy kont.
W wyniku przeprowadzonych analiz rozpoczęto procedurę blokowania kont użytkowników. Ostatnie blokady kont miały miejsce w sobotę (26 czerwca 2010) w godzinach wieczornych.
Dział Obsługi Klienta WP rozpoczął obsługę zgłoszeń użytkowników, których konta zostały zablokowane administracyjnie, w celu przywrócenia dostępu do usług WP.
28 czerwca, 2010 o godzinie 14:49
O2:
bardzo dziękujemy za przesłane zgłoszenie.
Uprzejmie informujemy, że Grupa o2 Sp. z o.o. podjęła następujące działania w przedmiotowej sprawie:
1. Administracyjnie zostały zablokowane konta pocztowe użytkowników znajdujących się na liście opublikowanej w Internecie.
2. Użytkownicy, których konta pocztowe zostały zablokowane:
a. przy próbie logowania za pomocą programu pocztowego (przez POP) otrzymają komunikat o błędnym haśle,
b. przy logowaniu przez WWW otrzymają komunikat o blokadzie administracyjnej z linkiem m.in. do formularza kontaktowego
28 czerwca, 2010 o godzinie 20:44
niebezpiecznik.pl lezy, moze ma to zwiazek z publikacja na temat hasel ?
http://evilll.cc/v/maildump/gerypl.txt, strona, gdzie zostawiono pozdrowienia dla 'niebezpiecznych’ przekierowuje na disney’a. Pachnie mi to jedna osoba …
28 czerwca, 2010 o godzinie 21:23
Onet napisał: „Dziękujemy za informacje. Natychmiast po zgłoszeniu podjęliśmy odpowiednie działania zmierzające do ograniczenia skutków ujawnienia tego typu danych.”
A ja nadal mogę się zalogować do kont z listy!
Interia, o2 i wp poblokowali. Onet obsysa. Ciekawe jakie wg. nich to „odpowiednie działania” skoro listę nadal można wygooglać w sieci.
28 czerwca, 2010 o godzinie 23:48
Moj mejl tez sobie wyciekł. Dziwne bo na obydwu moich kompach z których korzystam z poczty mam zainstlowanego linuksa wiec troche dziwne ze teby ten nibytrojan na nich dzialal.. Chyba ze dane te zostały zebrane juz bardzo dawno temu a teraz dopiero zostaly „upublicznione”.
29 czerwca, 2010 o godzinie 08:16
@Marcin
raczej masz rację ,popatrzcie na twiter…
29 czerwca, 2010 o godzinie 08:17
Mi dziwnym zbiegiem okoliczności , wycieczka na stronę disneya skończyła się rootkitem,ale to może być przypadek.
29 czerwca, 2010 o godzinie 09:50
Chcialam sprawdzic czy mojego e-maila nie ma na liscie, ale strona sie nie odpala, na wet glowna niebezpiecznik.pl. A wyglada na to, ze ktos mi sie wlamal na konto na onecie, mialam zmienione haslo i pytanie i odpowiedz do przypomnienia hasla. Jest gdzies jeszcze dostepna ta lista?
29 czerwca, 2010 o godzinie 12:38
@Zara: Pisz do Onetu, może oni Ci to zmienili
29 czerwca, 2010 o godzinie 13:19
Witam
o2 chce ode mnie skan dowodu osobistego i przesłanie wypełnionego wniosku o odzyskanie hasła …
Nie za daleko to idzie??
Jeste gdzieś jeszcze ta lista maili, bo podany serw chyba umarł …
29 czerwca, 2010 o godzinie 14:39
> o2 chce ode mnie skan dowodu osobistego i
> przesłanie wypełnionego wniosku o odzyskanie hasła …
Spróbuj na http://poczta.o2.pl/zapomnialem.php.
A jeśli nie definiowałeś numeru telefonu którym można odzyskać dostęp do konta, no to sorry, jak ktoś ma sprawdzić czy to na pewno Twoje konto?
29 czerwca, 2010 o godzinie 17:34
ghr pleciesz bzdury, kto tam pamięta jaki telefon tam wpisał 2-3 lata temu,nie mówiąc, że dawno już numer może być nie aktywny
po za tym kochane o2 kasuje sobie 3,66 za wysłanie smsa i zeropewności czy uda się zmienić hasło
29 czerwca, 2010 o godzinie 20:22
@ghr
Tu nie o to chodzi. Powoli zmieniam hasła gdzie się da i gdzie się da w serwisach, forach itd podaję nowy mail – już na pewno nie z o2.
Tylko że na koncie w o2 miałem kupę maili. kontakty jako tako mam, skopiowałem, a program pocztowy kiedyś wykręcił mi numer i dlatego trzymałem wsio na www.
Chyba admin ma wgląd do konta. Są tam dane np. z allegro – imie nazwisko, nr tel. Łatwo sprawdzić Po kilku latach posiadania konta … już raczej nie pamiętałem odpowiedzi na pytanie pomocnicze :D
Ale sam fakt żądania skanów dowodu osobistego i podpisany wniosek o odzyskanie hasła – to lekkie przegięcie – jak zaufać komuś kto dopuścił do ujawnienia danych – a teraz żąda jeszcze bardziej wrażliwych danych i do tego oczywiście z klauzulą, że zgadzam się na ble ble w trybie ustawy o ochronie danych osobowych przez grupę o2 i podmioty zależne.
Nie za dużo tego dobrego??
29 czerwca, 2010 o godzinie 20:26
AAAAAAA po setkach prób odpowiadania na pytanie pomocnicze udało się :D:D
Pozdroo 4ALL
29 czerwca, 2010 o godzinie 23:56
Ja miałem konto na o2 od 1998 roku, więc po 12 latach trochę się w moich danych zmieniło. Ja mam banalną zasadę – w mailach nie podawać swojego adresu, a np. nazywać się Wieczysław Gżegżółka, czy inna głupia nazwa. Do tego np. adres stadionu Legii W-wa, by nie wiedzieli skąd pochodzę. No, nie wolno zapominać też o dacie urodzenia, np. 1 września 1939.
30 czerwca, 2010 o godzinie 18:11
Po pierwsze nie ma dowodów, że O2 dopuściło się ujawnienia danych. Na 99% problem był z win użytkowników.
Absolutnie Administrator nie ma prawa czytać Twojej korespondencji i na jej podstawie określać cokolwiek. Poza tym to, że tam są takie dane jak choćby z allegro, nie oznacza (patrząc od strony potwierdzającej), że dane te są prawdziwe.
Nie możesz zwalać na operatora usługi (co właśnie robisz), że Ty zapomniałeś hasła pomocniczego. Dodatkowo postaw się zawsze w sytuacji odwrotnej. Jeśli ktoś uzyska dostęp do Twojego konta – zaraz podniesiesz lament, że przecież dlaczego umożliwili komuś wygenerowanie Twojego hasła, że przecież mogli weryfikować z użyciem dowodu osobistego itd.
Nie ma sensu podważać standardów stosowanych na całym świecie w postaci potwierdzenia skanu dokumentu i pytań pomocniczych.
Pamiętaj, że tak na prawdę chodzi tu o Twoje bezpieczeństwo więc należy się cieszyć, że firma poświęca tyle zasobów na takie zabezpieczenia. Tym bardziej, że haseł nie odzyskuje się codziennie i przesłanie tego xera raz na 5 lat nie jest jakimś strasznym kosztem czasowo organizacyjnym…
30 czerwca, 2010 o godzinie 18:13
I znowu ktoś ma pretensje do tego, że sam nie ma porządku. Dlaczego obwiniasz serwis świadczący Ci usługę, o to, że nie zaktualizowałeś swojego numeru telefonu albo nie pamiętałeś określonej informacji? Trochę to chyba nie fair :} A koszt w wysokości 3.66 za SMSa to szczerze pisząc trochę przesadzają…
1 lipca, 2010 o godzinie 12:45
Panie Borys, publikując analizę haseł dał pan klucz dla dowcipnisiów którzy mogli przez googla znaleźć ów plik z hasłami. Wydaje mi się to trochę nieodpowiedzialne z racji że nie wszystkie konta były jeszcze zablokowane.
Ps. czemu nigdzie nie widzę wzmianki o obrażaniu jednej ze społeczności internetowej przy okazji tej listy? Czy nie jest prawdopodobne że adresy e-mail należały właśnie do użytkowników owego serwisu? nie powinniśmy oddzielną drogą powiadomić tamtej społeczności również o tamtej dopisce? Tu akurat z oskarżeń portali pocztowych skierował bym wzrok gdzie indziej. możliwe że się mylę.
1 lipca, 2010 o godzinie 12:55
Moja pomyłka. Lista którą teraz znalazłem.. pochodzi z 27 czerwca. Wszystkie dane się po za tym zgadzają. Na pewno ją znajdziesz, wracając do zagadnienia poruszonego w post scriptum, możliwe że ktoś to sobie dopisał dopiero później.
1 lipca, 2010 o godzinie 14:32
@Michał: Po pierwsze nie Panie, po prostu Borys :]
Po drugie analiza haseł została opublikowana dopiero po tym jak pojawiła się w większych serwisach od mojego bloga i po potwierdzeniu przez wszystkie portale, że zostały podjęte działania naprawcze.
26 sierpnia, 2010 o godzinie 19:50
[…] podstawie różnych źródeł, własnych obserwacji i wywiadu z użytkownikami, można domniemywać, że Polacy najczęściej […]
22 grudnia, 2010 o godzinie 00:09
[…] gdyby czytała bothunters.pl to byłaby o ponad pół miliona dolarów do przodu, a tak niestety zapamięta tę […]
8 marca, 2012 o godzinie 17:13
Mnie również zablokowali konto które miałem już od wielu lat.
Najbardziej wkurza mnie to, że teraz muszę przesłać im skan dowodu. Po co im to???
23 kwietnia, 2012 o godzinie 23:26
CZASEM ODPOWIEDNIE USTAWIENIE PRZEGLĄDARKI POMAGA ,ZAWSZE CZYŚCI DANE PO ZAMKNIĘCIU PLUS PROGRAM DO SMIECI Z PRZEGLĄDDARKI
14 listopada, 2012 o godzinie 18:12
Trzeba płacić żeby odblokować konto?? co za bezsens!!
18 lutego, 2013 o godzinie 14:54
jak zawsze przykład debilnych haseł :D
1 kwietnia, 2013 o godzinie 12:37
bo ludzie to debile i nie zdajo se z tg sprawy