Prawdopodobne włamanie na serwery obsługujące grupę serwisów gejowskich

dodał 18 marca 2015 o 22:29 w kategorii Włamania  z tagami:
Prawdopodobne włamanie na serwery obsługujące grupę serwisów gejowskich

Otrzymaliśmy dowody świadczące o tym, że ktoś uzyskał dostęp do grupy serwerów gejowskich, w tym między innymi takich jak gejowo.pl i fellow.pl. Włamywacz szantażował właściciela, jednak ten nie uległ jego groźbom.

Na naszą redakcyjną skrzynkę dotarła niedawno wiadomość od włamywacza, który najwyraźniej postanowił poinformować cały świat o braku współpracy ze strony szantażowanego właściciela serwisów gejowskich. Z uwagi na bezpieczeństwo użytkowników postanowiliśmy ujawnić treść otrzymanej korespondencji.

Aktualizacja 2015-03-19
W oryginalnym artykule brak było informacji o tym, że prawdopodobnie doszło do włamania do firmy hostingowej, w której są lub były utrzymywane witryny serwisów gejowskich należących do różnych właścicieli.

Taki mały szantażyk za 5 BTC

Jeśli wierzyć otrzymanej korespondencji, 2 dni temu właściciel grupy serwisów właściciel firmy hostingowej, w której utrzymywane są lub były strony serwisów takich jak fellow.pl, frixx.eu, allechlopak.pl, fellow.cz i gejowo.pl otrzymał wiadomość następującej treści (zachowana oryginalna pisownia):

Witam.
Jestem w posiadaniu calej Pastwa bazy sql oraz plików z serwisów:
– anonse.gejowo.pl
– fellow.pl
– frixx.eu
– allechlopak.pl
– fellow.cz
– gejowo.pl
– play4men.pl (synthcell)
i kilka jeszcze istotnych plików.

Oczekuję do dnia 18 marca 2015 wpłaty w wysokości 5 BTC (bitcoin) na adres: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
W przeciwnym razie zmuszony będę do udostępnienia wszystkich plików jak i skryptów, danych użytkowników (z hasłami) oraz danych osobowych w sieci (TOR, facebook, twitter, fora)
Myślę, że nie będzie to Państwu na rękę, a tym bardziej Państwa użytkownikom (klientom) aby te dane zostały upuplicznione.
W załączniku zamieszczam dowody na posiadanie przezemnie plików.
Po zaksięgowaniu wpłaty, oczywiście usuwam wszystkie kopie plików. Luka w zabezpieczeniach zostanie wskazana po wpłacie BTC.
Chyba nie muszę wspominać, że wszelkie próby namierzenia mnie zakończą się opublicznieniu danych.

Pozdrawiam

Do wiadomości dołączone było kilka plików, zawierających fragment kodu źródłowego jednego z serwisów wraz z hasłem do bazy danych, zrzut ekranu fragmentu bazy danych serwisu oraz listy katalogów serwera obsługującego wspomniane serwisy.

Zawartość katalogów

Zawartość katalogów

Czy to prawda i co robić?

Przedstawione przez włamywacza dowody wyglądają dość wiarygodnie, chociaż brak jakiejkolwiek informacji o tym, kiedy doszło do włamania. Równie dobrze dane mogą pochodzić sprzed kilku lat. Mogą być także sfabrykowane, choć jest to mniej prawdopodobne. Właścicielom serwisów przekazaliśmy już pytania w tej sprawie, lecz nadal czekamy na odpowiedzi.

Jeśli macie konta w wymienionych powyżej serwisach, to po pierwsze zacznijcie od zmiany hasła w tych serwisach, w których korzystaliście z identycznych haseł (szczególnie dotyczy to skrzynek poczty elektronicznej). Jako że wspomniane serwisy ciągle mogą znajdować się pod kontrolą włamywacza, zmiana w nich hasła ma sens, ale tylko na takie, którego nie będzie Wam szkoda (czyli nie używacie go nigdzie indziej). Można także usunąć z nich ewentualnie kompromitujące materiały takie jak zdjęcia czy dane osobowe. Potem pozostaje czekać na oficjalne stanowisko właścicieli serwisów i mieć nadzieję, że bazy danych nie znajdą się w sieci.

Aktualizacja: Poniżej oświadczenie serwisu fellow.pl

Informujemy, że zrzut ekranu zawierających bazę danych jak i listę katalogów serwera nie pochodzi z żadnego z serwerów, na którym znajduje się serwis
fellow.pl!

Nie otrzymaliśmy również żadnych dowodów dot. włamania do serwisu fellow.pl,
administratorzy również tego nie potwierdzają.
Jesteśmy przekonani, że włamywacz nie miał dostępu ani do serwera, ani do
bazy danych serwisu, a jedynie do wczesnych prototypów samego skryptu PHP,
które zostały umieszczone na atakowanym serwerze i są one datowane na 2011
rok. Poleciliśmy już ich usunięcie.

Pozostałe wymienione na liście serwisy nie mają nic wspólnego z fellow.pl,
to zupełnie odrębne i niezależne strony znajdujące się na innym
serwerze/serwerach.

Najprawdopodobniej jesteśmy ofiarą pomówienia wysłanego przez
włamywacza-szantażystę, któremu wydaje się, że uzyskał bezpośredni dostęp do
serwerów i bazy danych fellow.pl.

Przekazaliśmy sprawę na policję i do działu prawnego…