23.10.2014 | 16:47

Adam Haertle

Poważny wyciek informacji z systemów Giełdy Papierów Wartościowych

Kilka godzin temu w sieci pojawiła się duża ilość materiałów opisanych jako wykradzione z serwerów Giełdy Papierów Wartościowych. Wstępna analiza wskazuje, ze twierdzenia osób odpowiedzialnych za wyciek mogą być prawdziwe.

Kilkanaście minut temu otrzymaliśmy od Pawła link do opublikowanych w sieci materiałów pod tytułem „Zhakowana giełda w Warszawie”. Pierwszy rzut oka na udostępnioną paczkę materiałów o rozmiarze ponad 30 MB sugeruje, że faktycznie doszło do kradzieży informacji z niektórych serwisów prowadzonych przez GPW oraz do użycia wykradzionych danych w innych atakach.

W naszej ocenie materiały są prawdopodobnie prawdziwe i świadczą o tym, że włamywacze przebywali w sieci wewnętrznej GPW i kontrolowali przynajmniej kilka jej elementów. Obecnie serwery, których dane zostały opublikowane, są wyłączone lub mają „przerwę techniczną”, co potwierdza, że wyciek faktycznie miał miejsce.

Aktualizacja 2014-10-23 20:00
Wiarygodne źródło potwierdziło nam, że faktycznie doszło do ataku na systemy GPW i włamywacze posiadali dostęp do sieci wewnętrznej organizacji. Wiele osób z naszej branży tej nocy nie wróci do domu, szacując zagrożenie i minimalizując jego skutki.

Kto przyznaje się do ataku

Włamywacze, którzy opublikowali już trzy wpisy w jednym z popularnych serwisów nie podpisują się żadnym pseudonimem. Wpisy w języku angielskim wzywają Allaha i wspominają o zemście za ataki na kraj włamywaczy. Oczywiście nie oznacza to niczego – równie dobrze mogli oni nie mieć nic wspólnego z krajami arabskimi. W każdym z trzech wpisów znalazły się linki do tego samego pliku, opublikowanego w kilku serwisach hostingowych. Wpisy zamieszczono ok. południa, a dane nadal są dostępne w sieci.

Nie publikujemy linków do wpisów włamywaczy, ponieważ wśród łatwych do pobrania danych znajdują się loginy i hasła wielu systemów oraz dane osobowe wielu osób.

Co wyciekło

W archiwum, udostępnionym przez włamywaczy, znajdują się:

  • plik XLS z ponad 30 tysiącami wierszy, zawierających loginy, czasem hasła lub hasze haseł, wyglądających na podsłuchane w sieci wewnętrznej lub wykradzione z serwerów (pliki shadow)
  • plik XLS z kilkunastoma tysiącami loginów i haseł do różnych systemów bankowych / giełdowych / pocztowych
  • plik XLS z kilkuset kontami z kontrolera domeny, wskazujący na użytkowników z różnych polskich i zagranicznych instytucji finansowych
  • dane kilkudziesięciu tysięcy użytkowników platformy GPW Trader
  • dziesiątki zrzutów ekranów skrzynek pocztowych oraz kopii wiadomości co najmniej kilkunastu polskich użytkowników systemów giełdowych i maklerskich (hasła dostępu do systemów, dane osobowe, wyciągi z kont itp)
  • lista ścieżek oraz haseł do webshelli w domenie utp.gpw.pl
  • fragmenty adresacji wewnętrznych sieci GPW
  • mapa architektury sieciowej GPW
Lista zebranych loginów i haseł

Lista zebranych loginów i haseł

Zrzut z kontrolera domeny

Zrzut z kontrolera domeny

 

Powrót

Komentarze

  • 2014.10.23 17:25 Adr

    znalezione w 5 minut,podaliście za dużo informacji

    Odpowiedz
    • 2014.10.24 00:36 Duży Pies

      Ja znalazłem w 1,5 minuty

      Odpowiedz
      • 2014.10.24 08:04 zenobiusz

        Ja w minutę!

        Odpowiedz
        • 2014.10.24 13:41 Duży Pies

          Ale ja szukałem i jadłem kolację, a byłem okropnie głodny bo wróciłem z treningu, dlatego zajęło mi to aż 1,5 minuty :)

          Odpowiedz
  • 2014.10.23 17:47 Jaroslaw Prochal

    Dobrze, ze dali dostep do webshelli, bo admini mogliby nie wiedziec jakie serwery wylaczyc. Pelne przejecie sieci firmowej.

    Odpowiedz
  • 2014.10.23 18:58 Unicornkid Odpowiedz
  • 2014.10.23 20:01 mk

    Brałem udział w SIGG w zeszłym roku i widnieję w pliku users-gwptrader.xls… Oczywiście używam unikalnych haseł wszędzie, więc nie stanowi to problemu.

    Odpowiedz
  • 2014.10.23 20:38 R_

    Sądząc po początkach haseł (d, q i 1) zapewne były to same hasła:
    qwerty
    dupa
    123456

    :)

    Odpowiedz
    • 2014.10.23 23:36 Nocarz

      „dupakupa” jak na razie wygrywa w rankingu zaraz po tym standardowe „1qaz”

      Odpowiedz
  • 2014.10.23 23:55 J

    z wycieku można się dowiedzieć że Pan Karol ma 22cm i płaci kobitkom 1000zł za noc :D

    Odpowiedz
  • 2014.10.24 00:36 Duży Pies

    GPW obraca gigantyczną kasą a ich admini nie zrobili profesjonalnych pentestów?
    Nie uszczelniali regularnie intranetu? Nie monitorowali stale ruchu sieciowego?
    Gdyby to był włam do jakiegoś kuratorium z pytaniami na maturę, to bym się nic nie powiedział, bo to normalka że „państwowe” często nie stać na profesjonalne IT.
    Ale GPW?

    Odpowiedz
    • 2014.10.24 02:34 hmmm

      a kto tam myślisz pracuje? porobili tabelki w exelu popijają kawkę i grają przez neta w pracy, zamiast stada tumanów wystarczył by jeden ogarnięty informatyk a tacy zazwyczaj sami trochę hackują nie żeby gdzieś konkretnie się włamywać tylko żeby się sprawdzić, siedzą gdzieś na forach których nie znajdziesz wpisując w google „jak zostać hakerem” i wymieniają się doświadczeniami, na seminariach o zabezpieczeniach nie dowiesz się nawet 1% tego co oni wiedzą, może paru nawet składało tam CV ale nie mieli skończonej dobrej szkoły czy porobionych kursów i to wystarczyło że mają takich speców jakich mają, zazwyczaj luki w zabezpieczeniach wykrywają zwykli użytkownicy i to w programach światowych gigantów którzy powinni mieć najlepszą ekipę informatyków, z tego co wiem to są firmy trudniące się „włamami” tylko że na prośbę firmy która chce sprawdzić swoje zabezpieczenia i za grubą kasę, czy GPW wynajęła taką firmę? wątpię, kasa płynęła nic się nie działo aż się stało, właściwie to nic tam się nie stało ot będzie przestój i zamrożenie aktywów może jakieś pozwy jak ktoś dużo straci przez niemożność sprzedaży lecących w dół akcji, ale zrobili to jacyś idioci albo celowo zadali małe straty nie umniejszając ich zdolności w zakresie IT, czy nie mogli pozmieniać cyferek tu coś dopisać tu coś odjąć komuś hasło zmienić, komuś kupić akcje komuś sprzedać, ciekawe ile wtedy by narobili szkód, a to pobiegli do neta się pochwalić i wiadomo kiedy i co zaatakowali, pewnie GPW zresztą ma jakieś kopie zapasowe gdyby działali po cichu mogli by naprawdę rozwalić giełdę, po plotkach że dziwne rzeczy „same” się dzieją i wtedy opublikowaniu tego wszyscy wycofali by kasę i był by krach, a tak z każdym z listy się skontaktują każą zmienić hasła i dalej będzie się kręciło, no chyba że nie dojdą w jaki sposób był przeprowadzony atak ale jakieś protokoły pewnie mają żeby dojść do tego, choć z drugiej strony czy powiadomią wszystkich tak szybko? dane są publiczne i kilka tys osób pewnie tam buszowało kilka godzin zanim tego nie wyłączyli

      Odpowiedz
      • 2014.10.24 10:06 Marcin

        Sam jestem ciekaw, jak to naprawde jest w tak dużych firmach czy instytucjach. Specjalistów od bezpieczeństwa mamy świetnych, tyle że nie pracują w kraju. Jestem w stanie sobie wyobrazić jak wygląda praca adminów w urzędach większych miast, w 90% jest to naprawa sprzętu czy pomoc pracownikom przy problemach z drukarkami, faksami, etc.
        Nawiasem mówiąc, mogło to być włamanie do mniej znaczącego podsystemu, w komentarzach pojawia sie SIGG.

        Odpowiedz
        • 2014.10.27 08:20 stefan

          Tak, potiwerdzam, tak to wygląda.

          Odpowiedz
  • 2014.10.24 08:28 Jerzy

    Informacja zgodna z prawdą, WP wymusza zmiany haseł dla osób z czarnej listy, sam atak musiał nastąpić około 3-4 miesięcy temu, moje hasło jest z tego okresu.

    Odpowiedz
  • 2014.10.24 08:55 Radek

    Naprawdę Wam się zdaje, że takie rzeczy są winą debili popijających kawkę i grających w gry?
    Mogę się założyć, że szefostwo IT latami upraszało się o zakup czegoś/reorganizację/wymianę itp. i wszystkie ich prośby były zlewane albo było kupowane coś najtańszego albo niepotrzebnego. Sam w dawnej pracy widziałem akcję zakupu serwerów rackowych z kompletnie niepotrzebnym systemem i to tak długich, że nie wchodziły do szaf. A upraszanie się dwa lata o jakiś komputer z większymi dyskami żeby było gdzie robić backupy pozostały bez odpowiedzi.

    Odpowiedz
  • 2014.10.24 11:17 Nocarz

    Tutaj tabelka z ilością wystąpień danego hasła w pliku z wycieku :)
    http://pastebin.com/8BcLEuBq

    Odpowiedz
  • 2014.10.24 11:31 well

    Im większa firma tym większy burdel :)

    Odpowiedz

Zostaw odpowiedź do well

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poważny wyciek informacji z systemów Giełdy Papierów Wartościowych

Komentarze