Kilka godzin temu w sieci pojawiła się duża ilość materiałów opisanych jako wykradzione z serwerów Giełdy Papierów Wartościowych. Wstępna analiza wskazuje, ze twierdzenia osób odpowiedzialnych za wyciek mogą być prawdziwe.
Kilkanaście minut temu otrzymaliśmy od Pawła link do opublikowanych w sieci materiałów pod tytułem „Zhakowana giełda w Warszawie”. Pierwszy rzut oka na udostępnioną paczkę materiałów o rozmiarze ponad 30 MB sugeruje, że faktycznie doszło do kradzieży informacji z niektórych serwisów prowadzonych przez GPW oraz do użycia wykradzionych danych w innych atakach.
W naszej ocenie materiały są prawdopodobnie prawdziwe i świadczą o tym, że włamywacze przebywali w sieci wewnętrznej GPW i kontrolowali przynajmniej kilka jej elementów. Obecnie serwery, których dane zostały opublikowane, są wyłączone lub mają „przerwę techniczną”, co potwierdza, że wyciek faktycznie miał miejsce.
Kto przyznaje się do ataku
Włamywacze, którzy opublikowali już trzy wpisy w jednym z popularnych serwisów nie podpisują się żadnym pseudonimem. Wpisy w języku angielskim wzywają Allaha i wspominają o zemście za ataki na kraj włamywaczy. Oczywiście nie oznacza to niczego – równie dobrze mogli oni nie mieć nic wspólnego z krajami arabskimi. W każdym z trzech wpisów znalazły się linki do tego samego pliku, opublikowanego w kilku serwisach hostingowych. Wpisy zamieszczono ok. południa, a dane nadal są dostępne w sieci.
Nie publikujemy linków do wpisów włamywaczy, ponieważ wśród łatwych do pobrania danych znajdują się loginy i hasła wielu systemów oraz dane osobowe wielu osób.
Co wyciekło
W archiwum, udostępnionym przez włamywaczy, znajdują się:
- plik XLS z ponad 30 tysiącami wierszy, zawierających loginy, czasem hasła lub hasze haseł, wyglądających na podsłuchane w sieci wewnętrznej lub wykradzione z serwerów (pliki shadow)
- plik XLS z kilkunastoma tysiącami loginów i haseł do różnych systemów bankowych / giełdowych / pocztowych
- plik XLS z kilkuset kontami z kontrolera domeny, wskazujący na użytkowników z różnych polskich i zagranicznych instytucji finansowych
- dane kilkudziesięciu tysięcy użytkowników platformy GPW Trader
- dziesiątki zrzutów ekranów skrzynek pocztowych oraz kopii wiadomości co najmniej kilkunastu polskich użytkowników systemów giełdowych i maklerskich (hasła dostępu do systemów, dane osobowe, wyciągi z kont itp)
- lista ścieżek oraz haseł do webshelli w domenie utp.gpw.pl
- fragmenty adresacji wewnętrznych sieci GPW
- mapa architektury sieciowej GPW
Lista zebranych loginów i haseł
Zrzut z kontrolera domeny
Komentarze
znalezione w 5 minut,podaliście za dużo informacji
Ja znalazłem w 1,5 minuty
Ja w minutę!
Ale ja szukałem i jadłem kolację, a byłem okropnie głodny bo wróciłem z treningu, dlatego zajęło mi to aż 1,5 minuty :)
Dobrze, ze dali dostep do webshelli, bo admini mogliby nie wiedziec jakie serwery wylaczyc. Pelne przejecie sieci firmowej.
http://pastebin.com/40C1ZQpq
Brałem udział w SIGG w zeszłym roku i widnieję w pliku users-gwptrader.xls… Oczywiście używam unikalnych haseł wszędzie, więc nie stanowi to problemu.
Sądząc po początkach haseł (d, q i 1) zapewne były to same hasła:
qwerty
dupa
123456
:)
„dupakupa” jak na razie wygrywa w rankingu zaraz po tym standardowe „1qaz”
z wycieku można się dowiedzieć że Pan Karol ma 22cm i płaci kobitkom 1000zł za noc :D
GPW obraca gigantyczną kasą a ich admini nie zrobili profesjonalnych pentestów?
Nie uszczelniali regularnie intranetu? Nie monitorowali stale ruchu sieciowego?
Gdyby to był włam do jakiegoś kuratorium z pytaniami na maturę, to bym się nic nie powiedział, bo to normalka że „państwowe” często nie stać na profesjonalne IT.
Ale GPW?
a kto tam myślisz pracuje? porobili tabelki w exelu popijają kawkę i grają przez neta w pracy, zamiast stada tumanów wystarczył by jeden ogarnięty informatyk a tacy zazwyczaj sami trochę hackują nie żeby gdzieś konkretnie się włamywać tylko żeby się sprawdzić, siedzą gdzieś na forach których nie znajdziesz wpisując w google „jak zostać hakerem” i wymieniają się doświadczeniami, na seminariach o zabezpieczeniach nie dowiesz się nawet 1% tego co oni wiedzą, może paru nawet składało tam CV ale nie mieli skończonej dobrej szkoły czy porobionych kursów i to wystarczyło że mają takich speców jakich mają, zazwyczaj luki w zabezpieczeniach wykrywają zwykli użytkownicy i to w programach światowych gigantów którzy powinni mieć najlepszą ekipę informatyków, z tego co wiem to są firmy trudniące się „włamami” tylko że na prośbę firmy która chce sprawdzić swoje zabezpieczenia i za grubą kasę, czy GPW wynajęła taką firmę? wątpię, kasa płynęła nic się nie działo aż się stało, właściwie to nic tam się nie stało ot będzie przestój i zamrożenie aktywów może jakieś pozwy jak ktoś dużo straci przez niemożność sprzedaży lecących w dół akcji, ale zrobili to jacyś idioci albo celowo zadali małe straty nie umniejszając ich zdolności w zakresie IT, czy nie mogli pozmieniać cyferek tu coś dopisać tu coś odjąć komuś hasło zmienić, komuś kupić akcje komuś sprzedać, ciekawe ile wtedy by narobili szkód, a to pobiegli do neta się pochwalić i wiadomo kiedy i co zaatakowali, pewnie GPW zresztą ma jakieś kopie zapasowe gdyby działali po cichu mogli by naprawdę rozwalić giełdę, po plotkach że dziwne rzeczy „same” się dzieją i wtedy opublikowaniu tego wszyscy wycofali by kasę i był by krach, a tak z każdym z listy się skontaktują każą zmienić hasła i dalej będzie się kręciło, no chyba że nie dojdą w jaki sposób był przeprowadzony atak ale jakieś protokoły pewnie mają żeby dojść do tego, choć z drugiej strony czy powiadomią wszystkich tak szybko? dane są publiczne i kilka tys osób pewnie tam buszowało kilka godzin zanim tego nie wyłączyli
Sam jestem ciekaw, jak to naprawde jest w tak dużych firmach czy instytucjach. Specjalistów od bezpieczeństwa mamy świetnych, tyle że nie pracują w kraju. Jestem w stanie sobie wyobrazić jak wygląda praca adminów w urzędach większych miast, w 90% jest to naprawa sprzętu czy pomoc pracownikom przy problemach z drukarkami, faksami, etc.
Nawiasem mówiąc, mogło to być włamanie do mniej znaczącego podsystemu, w komentarzach pojawia sie SIGG.
Tak, potiwerdzam, tak to wygląda.
Informacja zgodna z prawdą, WP wymusza zmiany haseł dla osób z czarnej listy, sam atak musiał nastąpić około 3-4 miesięcy temu, moje hasło jest z tego okresu.
Naprawdę Wam się zdaje, że takie rzeczy są winą debili popijających kawkę i grających w gry?
Mogę się założyć, że szefostwo IT latami upraszało się o zakup czegoś/reorganizację/wymianę itp. i wszystkie ich prośby były zlewane albo było kupowane coś najtańszego albo niepotrzebnego. Sam w dawnej pracy widziałem akcję zakupu serwerów rackowych z kompletnie niepotrzebnym systemem i to tak długich, że nie wchodziły do szaf. A upraszanie się dwa lata o jakiś komputer z większymi dyskami żeby było gdzie robić backupy pozostały bez odpowiedzi.
Tutaj tabelka z ilością wystąpień danego hasła w pliku z wycieku :)
http://pastebin.com/8BcLEuBq
Im większa firma tym większy burdel :)