Otrzymaliśmy dowody świadczące o tym, że ktoś uzyskał dostęp do grupy serwerów gejowskich, w tym między innymi takich jak gejowo.pl i fellow.pl. Włamywacz szantażował właściciela, jednak ten nie uległ jego groźbom.
Na naszą redakcyjną skrzynkę dotarła niedawno wiadomość od włamywacza, który najwyraźniej postanowił poinformować cały świat o braku współpracy ze strony szantażowanego właściciela serwisów gejowskich. Z uwagi na bezpieczeństwo użytkowników postanowiliśmy ujawnić treść otrzymanej korespondencji.
Taki mały szantażyk za 5 BTC
Jeśli wierzyć otrzymanej korespondencji, 2 dni temu właściciel grupy serwisów właściciel firmy hostingowej, w której utrzymywane są lub były strony serwisów takich jak fellow.pl, frixx.eu, allechlopak.pl, fellow.cz i gejowo.pl otrzymał wiadomość następującej treści (zachowana oryginalna pisownia):
Witam.
Jestem w posiadaniu calej Pastwa bazy sql oraz plików z serwisów:
– anonse.gejowo.pl
– fellow.pl
– frixx.eu
– allechlopak.pl
– fellow.cz
– gejowo.pl
– play4men.pl (synthcell)
i kilka jeszcze istotnych plików.
Oczekuję do dnia 18 marca 2015 wpłaty w wysokości 5 BTC (bitcoin) na adres: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
W przeciwnym razie zmuszony będę do udostępnienia wszystkich plików jak i skryptów, danych użytkowników (z hasłami) oraz danych osobowych w sieci (TOR, facebook, twitter, fora)
Myślę, że nie będzie to Państwu na rękę, a tym bardziej Państwa użytkownikom (klientom) aby te dane zostały upuplicznione.
W załączniku zamieszczam dowody na posiadanie przezemnie plików.
Po zaksięgowaniu wpłaty, oczywiście usuwam wszystkie kopie plików. Luka w zabezpieczeniach zostanie wskazana po wpłacie BTC.
Chyba nie muszę wspominać, że wszelkie próby namierzenia mnie zakończą się opublicznieniu danych.
Pozdrawiam
Do wiadomości dołączone było kilka plików, zawierających fragment kodu źródłowego jednego z serwisów wraz z hasłem do bazy danych, zrzut ekranu fragmentu bazy danych serwisu oraz listy katalogów serwera obsługującego wspomniane serwisy.
Zawartość katalogów
Czy to prawda i co robić?
Przedstawione przez włamywacza dowody wyglądają dość wiarygodnie, chociaż brak jakiejkolwiek informacji o tym, kiedy doszło do włamania. Równie dobrze dane mogą pochodzić sprzed kilku lat. Mogą być także sfabrykowane, choć jest to mniej prawdopodobne. Właścicielom serwisów przekazaliśmy już pytania w tej sprawie, lecz nadal czekamy na odpowiedzi.
Jeśli macie konta w wymienionych powyżej serwisach, to po pierwsze zacznijcie od zmiany hasła w tych serwisach, w których korzystaliście z identycznych haseł (szczególnie dotyczy to skrzynek poczty elektronicznej). Jako że wspomniane serwisy ciągle mogą znajdować się pod kontrolą włamywacza, zmiana w nich hasła ma sens, ale tylko na takie, którego nie będzie Wam szkoda (czyli nie używacie go nigdzie indziej). Można także usunąć z nich ewentualnie kompromitujące materiały takie jak zdjęcia czy dane osobowe. Potem pozostaje czekać na oficjalne stanowisko właścicieli serwisów i mieć nadzieję, że bazy danych nie znajdą się w sieci.
Aktualizacja: Poniżej oświadczenie serwisu fellow.pl
fellow.pl!
Nie otrzymaliśmy również żadnych dowodów dot. włamania do serwisu fellow.pl,
administratorzy również tego nie potwierdzają.
Jesteśmy przekonani, że włamywacz nie miał dostępu ani do serwera, ani do
bazy danych serwisu, a jedynie do wczesnych prototypów samego skryptu PHP,
które zostały umieszczone na atakowanym serwerze i są one datowane na 2011
rok. Poleciliśmy już ich usunięcie.
Pozostałe wymienione na liście serwisy nie mają nic wspólnego z fellow.pl,
to zupełnie odrębne i niezależne strony znajdujące się na innym
serwerze/serwerach.
Najprawdopodobniej jesteśmy ofiarą pomówienia wysłanego przez
włamywacza-szantażystę, któremu wydaje się, że uzyskał bezpośredni dostęp do
serwerów i bazy danych fellow.pl.
Przekazaliśmy sprawę na policję i do działu prawnego…
Komentarze
Obowiązkowy komentarz:
Wygląda na to, że ktoś im zrobił backdoora….
;)
No jakbym czytał pismo hakera bonzo xD
Czyżby nawet nie hasowali? Tylko trzymali hasła w bazie otwartym tekstem?
Unia europejska i XXI wiek
+ internet
„Po zaksięgowaniu wpłaty” :D
a po transakcji liczył na pozytywa, czy jak?
poza tym fajnie wiedzieć, że gość zamiast kasy, dostał trochę pomarszczonej skóry na dupie. :)
Nie zadawaj głupich pytań, tylko pozmieniaj hasła na innych serwisach.
Zaprawde powiadam Ci ja wiem wszystko
coś mi się wydaje, że teraz wszyscy użytkownicy zrzucą się na te 5BTC :)
BTC pójdą dla hydraulika za czyszczenie rur.
Spalić tęcze !
oddać kopię wraku!!
Kopię wraku tęczy?!
spalone wraki tęczy? To brzmi jakby ktoś palił…..
http://static.coverphotobox.com/13/6/Facebook-Cover-unicorn-poop-rainbow.jpg
Czego chcesz,Z3S odwiedzają też miłośnicy „bazarów” TORowych lubiących „wypalanie traw” a może i grzybki więc wiesz ;) https://www.youtube.com/watch?v=cPKOcqmbz7M
Tak przy okazji na niebezpieczniku ktoś w komentarzach pytał,dlaczego nie sprzedano tego redwatch ;) Następnym razem może być „wesoło” ;)
Rozwaliłeś system:)
Fake. Niepotrzebnie to napędzacie.
Możecie dodacie do artykułu zrzut z ich kodu źródłowego (bez haseł ofc), bo chętnie bym popatrzył co tam nabazgrali :D
Przydałaby się moderacja, bo za w komentarzach dużo wątków offtopic, niezwiązanych z tematem bezpieczeństwa informatycznego.
gdzie moredarcja? i co cale homowątki maja wspolnego z z3s? szacunek sie nalezy kazdemu, ale trzymajcie strone na temat. pls
Poprawione.
nie mnien niema dostępu na stronefellow
Znowu „awaria zasilania w serwerowni” – czyli za chwilę znów cała baza będzie latała po internetach :).