Od włamania na forum do przejęcia skrzynek pocztowych – przykład z Polski

dodał 21 sierpnia 2012 o 17:34 w kategorii Prywatność, Top, Włamania  z tagami:
Od włamania na forum do przejęcia skrzynek pocztowych – przykład z Polski

W nasze ręce wpadły ciekawe informacje, pokazujące proces, dzięki któremu kilka dni temu włamanie do bazy pewnego internetowego forum średnich rozmiarów doprowadziło do ujawnienia haseł do skrzynek pocztowych ponad 7 tysięcy użytkowników.

Dzięki czytelnikowi, który pragnie pozostać anonimowy, otrzymaliśmy informacje związane z wyciekiem danych użytkowników polskiego serwisu internetowego. Na forum w sieci TOR, Polish Board & Market, pewien użytkownik opublikował kilka dni temu niecałe 20 tysięcy hashy MD5 z prośbą o pomoc w ich złamaniu. Zaznaczył przy tym, że hashe pochodzą z forum, które ma 37 tysięcy użytkowników i do tej pory poradził sobie ze złamaniem haseł połowy z nich.


Pierwszy wpis z forum

Inny użytkownik forum pospieszył z pomocą i po krótkim czasie opublikował listę 17137 złamanych haseł. Oznacza to, że na ok. 37 tysięcy kont, jedynie ok. 2300 użytkowników (6%) użyło haseł, które nie zostały szybko złamane.


Wyniki łamania haseł

Prawdopodobne źródło wycieku

Co prawda autor wpisu nie podał źródła wycieku, jednak na pochodzenie danych z forum serwisu e-mama.pl wskazują dość istotne dowody. Według autora wycieku, źródłem jest forum, na którym zarejestrowanych jest ok. 37 tysięcy użytkowników – forum e-mama.pl ma 37640 kont. Co jednak istotniejsze, wśród złamanych haseł znalazło się sporo, wskazujących jednoznacznie na pochodzenie wycieku.


Przykłady złamanych haseł

7479 haseł do skrzynek pocztowych

Najciekawsze dane jednak dopiero miały się pojawić. Kilka dni później autor włamania opublikował plik, zawierający 7479 par adres email + hasło. Dane te okazały się być hasłami do skrzynek pocztowych użytkowników forum, których poprawność włamywacz zweryfikował odpowiednim skryptem. Oznacza to, że co najmniej 7479 użytkowników forum korzystało z tego samego hasła na forum i do zabezpieczenia swojej skrzynki pocztowej.


Fragment opublikowanego pliku

Wygląda więc na to, że przynajmniej 20% użytkowników forum e-mama.pl nie zastosowało starej zasady „jedno konto – jedno hasło”.

20% czy znacznie więcej?

Prawdopodobnie jednak 20% to wartość zaniżona. Po pierwsze, analiza listy adresów email wskazuje, że skrypt, użyty przez autora wycieku do automatycznej weryfikacji haseł, obsługuje jedynie najpopularniejszych dostawców usług pocztowych: Onet, WP, Interię, O2 i Yahoo. Oznacza to, że autor wpisu mógł nie weryfikować kont założonych w innych serwisach.

Po drugie, forum działa od co najmniej 6 lat. W tym czasie część użytkowników mogła przestać korzystać ze skrzynek, a te zostały zamknięte przez dostawców usługi.

Po trzecie, ponad 2 tysiące haseł nie zostało złamanych – a istnieje prawdopodobieństwo, że trudniejsze hasła mogły być częściej stosowane w wielu serwisach.

Do czego może doprowadzić dostęp do skrzynki

Odpowiedzi na powyższe pytanie najlepiej dostarczy nam komentarz jednego z użytkowników forum PB&M, dotyczący innej udostępnionej bazy danych. Czego włamywacze szukają w naszych skrzynkach?

chciałem podziękować za tą baze, do dziś sprawdzam/czytam mejle, ale mam pytanko:
wyszukałem dwa konta ftp kilka na allegro dziesiątki na nk fb kilka kont premium na chomikuj i jedno na raspidshare, doszukałem się skanów różnych dokumentów typu: zus, świadectwa, legitymacje studenckie etc etc, 2 konta na no-ip jest konto na jakiś vpn, mam klucze z avast 2012 i ashamboo do kilku programów, znalazłem konto na netia i jakiś klucz do upc guard czy coś takiego, mam konta na paypal mbank jakieś konta hazardowe, ups, wysyłki aukcje i wiele innych, przyznaje że jestem noobem i  nie potrzebuje tego bo nie wiem co z tym zrobić, może ktoś to wykorzysta, i do kogo mam to na PW wysłać? tylko komuś kto zna się na tym, aha i wychaczyłem też CD Keye do kilku gier i konta z windowslive ale to dla siebie zachowam ok, jeszcze raz dzięki za tę baze kolego.

Jak więc widać, ujawnienie hasła dostępu do skrzynki pocztowej może nieść ze sobą dotkliwe konsekwencje dla jej właściciela.

Podsumowanie

Czy 20% powtarzających się haseł to dużo? Naszym zdaniem nawet, jeśli procent użytkowników korzystających z tego samego hasła do wielu serwisów wynosi 30 czy 50%, to ciągle nie jest to najgorszy wynik – spodziewaliśmy się raczej liczb w przedziale 60-80%. Powyższy przykład jest jednak dowodem na to, że nawoływanie do używania innego hasła do skrzynki pocztowej, a innego do serwisów, gdzie podajemy swój adres email, jest głęboko uzasadnione.

Zarówno serwis e-mama.pl jak i dostawcy usługi poczty elektronicznej, których adresy pojawiły się w danych, zostali powiadomieni o wycieku.