Od włamania na forum do przejęcia skrzynek pocztowych – przykład z Polski

dodał 21 sierpnia 2012 o 17:34 w kategorii Prywatność, Top, Włamania  z tagami:
Od włamania na forum do przejęcia skrzynek pocztowych – przykład z Polski

W nasze ręce wpadły ciekawe informacje, pokazujące proces, dzięki któremu kilka dni temu włamanie do bazy pewnego internetowego forum średnich rozmiarów doprowadziło do ujawnienia haseł do skrzynek pocztowych ponad 7 tysięcy użytkowników.

Dzięki czytelnikowi, który pragnie pozostać anonimowy, otrzymaliśmy informacje związane z wyciekiem danych użytkowników polskiego serwisu internetowego. Na forum w sieci TOR, Polish Board & Market, pewien użytkownik opublikował kilka dni temu niecałe 20 tysięcy hashy MD5 z prośbą o pomoc w ich złamaniu. Zaznaczył przy tym, że hashe pochodzą z forum, które ma 37 tysięcy użytkowników i do tej pory poradził sobie ze złamaniem haseł połowy z nich.


Pierwszy wpis z forum

Inny użytkownik forum pospieszył z pomocą i po krótkim czasie opublikował listę 17137 złamanych haseł. Oznacza to, że na ok. 37 tysięcy kont, jedynie ok. 2300 użytkowników (6%) użyło haseł, które nie zostały szybko złamane.


Wyniki łamania haseł

Prawdopodobne źródło wycieku

Co prawda autor wpisu nie podał źródła wycieku, jednak na pochodzenie danych z forum serwisu e-mama.pl wskazują dość istotne dowody. Według autora wycieku, źródłem jest forum, na którym zarejestrowanych jest ok. 37 tysięcy użytkowników – forum e-mama.pl ma 37640 kont. Co jednak istotniejsze, wśród złamanych haseł znalazło się sporo, wskazujących jednoznacznie na pochodzenie wycieku.


Przykłady złamanych haseł

7479 haseł do skrzynek pocztowych

Najciekawsze dane jednak dopiero miały się pojawić. Kilka dni później autor włamania opublikował plik, zawierający 7479 par adres email + hasło. Dane te okazały się być hasłami do skrzynek pocztowych użytkowników forum, których poprawność włamywacz zweryfikował odpowiednim skryptem. Oznacza to, że co najmniej 7479 użytkowników forum korzystało z tego samego hasła na forum i do zabezpieczenia swojej skrzynki pocztowej.


Fragment opublikowanego pliku

Wygląda więc na to, że przynajmniej 20% użytkowników forum e-mama.pl nie zastosowało starej zasady „jedno konto – jedno hasło”.

20% czy znacznie więcej?

Prawdopodobnie jednak 20% to wartość zaniżona. Po pierwsze, analiza listy adresów email wskazuje, że skrypt, użyty przez autora wycieku do automatycznej weryfikacji haseł, obsługuje jedynie najpopularniejszych dostawców usług pocztowych: Onet, WP, Interię, O2 i Yahoo. Oznacza to, że autor wpisu mógł nie weryfikować kont założonych w innych serwisach.

Po drugie, forum działa od co najmniej 6 lat. W tym czasie część użytkowników mogła przestać korzystać ze skrzynek, a te zostały zamknięte przez dostawców usługi.

Po trzecie, ponad 2 tysiące haseł nie zostało złamanych – a istnieje prawdopodobieństwo, że trudniejsze hasła mogły być częściej stosowane w wielu serwisach.

Do czego może doprowadzić dostęp do skrzynki

Odpowiedzi na powyższe pytanie najlepiej dostarczy nam komentarz jednego z użytkowników forum PB&M, dotyczący innej udostępnionej bazy danych. Czego włamywacze szukają w naszych skrzynkach?

Jak więc widać, ujawnienie hasła dostępu do skrzynki pocztowej może nieść ze sobą dotkliwe konsekwencje dla jej właściciela.

Podsumowanie

Czy 20% powtarzających się haseł to dużo? Naszym zdaniem nawet, jeśli procent użytkowników korzystających z tego samego hasła do wielu serwisów wynosi 30 czy 50%, to ciągle nie jest to najgorszy wynik – spodziewaliśmy się raczej liczb w przedziale 60-80%. Powyższy przykład jest jednak dowodem na to, że nawoływanie do używania innego hasła do skrzynki pocztowej, a innego do serwisów, gdzie podajemy swój adres email, jest głęboko uzasadnione.

Zarówno serwis e-mama.pl jak i dostawcy usługi poczty elektronicznej, których adresy pojawiły się w danych, zostali powiadomieni o wycieku.