18.03.2015 | 22:29

Adam Haertle

Prawdopodobne włamanie na serwery obsługujące grupę serwisów gejowskich

Otrzymaliśmy dowody świadczące o tym, że ktoś uzyskał dostęp do grupy serwerów gejowskich, w tym między innymi takich jak gejowo.pl i fellow.pl. Włamywacz szantażował właściciela, jednak ten nie uległ jego groźbom.

Na naszą redakcyjną skrzynkę dotarła niedawno wiadomość od włamywacza, który najwyraźniej postanowił poinformować cały świat o braku współpracy ze strony szantażowanego właściciela serwisów gejowskich. Z uwagi na bezpieczeństwo użytkowników postanowiliśmy ujawnić treść otrzymanej korespondencji.

Aktualizacja 2015-03-19
W oryginalnym artykule brak było informacji o tym, że prawdopodobnie doszło do włamania do firmy hostingowej, w której są lub były utrzymywane witryny serwisów gejowskich należących do różnych właścicieli.

Taki mały szantażyk za 5 BTC

Jeśli wierzyć otrzymanej korespondencji, 2 dni temu właściciel grupy serwisów właściciel firmy hostingowej, w której utrzymywane są lub były strony serwisów takich jak fellow.pl, frixx.eu, allechlopak.pl, fellow.cz i gejowo.pl otrzymał wiadomość następującej treści (zachowana oryginalna pisownia):

Witam.
Jestem w posiadaniu calej Pastwa bazy sql oraz plików z serwisów:
– anonse.gejowo.pl
– fellow.pl
– frixx.eu
– allechlopak.pl
– fellow.cz
– gejowo.pl
– play4men.pl (synthcell)
i kilka jeszcze istotnych plików.

Oczekuję do dnia 18 marca 2015 wpłaty w wysokości 5 BTC (bitcoin) na adres: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
W przeciwnym razie zmuszony będę do udostępnienia wszystkich plików jak i skryptów, danych użytkowników (z hasłami) oraz danych osobowych w sieci (TOR, facebook, twitter, fora)
Myślę, że nie będzie to Państwu na rękę, a tym bardziej Państwa użytkownikom (klientom) aby te dane zostały upuplicznione.
W załączniku zamieszczam dowody na posiadanie przezemnie plików.
Po zaksięgowaniu wpłaty, oczywiście usuwam wszystkie kopie plików. Luka w zabezpieczeniach zostanie wskazana po wpłacie BTC.
Chyba nie muszę wspominać, że wszelkie próby namierzenia mnie zakończą się opublicznieniu danych.

Pozdrawiam

Do wiadomości dołączone było kilka plików, zawierających fragment kodu źródłowego jednego z serwisów wraz z hasłem do bazy danych, zrzut ekranu fragmentu bazy danych serwisu oraz listy katalogów serwera obsługującego wspomniane serwisy.

Zawartość katalogów

Zawartość katalogów

Czy to prawda i co robić?

Przedstawione przez włamywacza dowody wyglądają dość wiarygodnie, chociaż brak jakiejkolwiek informacji o tym, kiedy doszło do włamania. Równie dobrze dane mogą pochodzić sprzed kilku lat. Mogą być także sfabrykowane, choć jest to mniej prawdopodobne. Właścicielom serwisów przekazaliśmy już pytania w tej sprawie, lecz nadal czekamy na odpowiedzi.

Jeśli macie konta w wymienionych powyżej serwisach, to po pierwsze zacznijcie od zmiany hasła w tych serwisach, w których korzystaliście z identycznych haseł (szczególnie dotyczy to skrzynek poczty elektronicznej). Jako że wspomniane serwisy ciągle mogą znajdować się pod kontrolą włamywacza, zmiana w nich hasła ma sens, ale tylko na takie, którego nie będzie Wam szkoda (czyli nie używacie go nigdzie indziej). Można także usunąć z nich ewentualnie kompromitujące materiały takie jak zdjęcia czy dane osobowe. Potem pozostaje czekać na oficjalne stanowisko właścicieli serwisów i mieć nadzieję, że bazy danych nie znajdą się w sieci.

Aktualizacja: Poniżej oświadczenie serwisu fellow.pl

Informujemy, że zrzut ekranu zawierających bazę danych jak i listę katalogów serwera nie pochodzi z żadnego z serwerów, na którym znajduje się serwis
fellow.pl!

Nie otrzymaliśmy również żadnych dowodów dot. włamania do serwisu fellow.pl,
administratorzy również tego nie potwierdzają.
Jesteśmy przekonani, że włamywacz nie miał dostępu ani do serwera, ani do
bazy danych serwisu, a jedynie do wczesnych prototypów samego skryptu PHP,
które zostały umieszczone na atakowanym serwerze i są one datowane na 2011
rok. Poleciliśmy już ich usunięcie.

Pozostałe wymienione na liście serwisy nie mają nic wspólnego z fellow.pl,
to zupełnie odrębne i niezależne strony znajdujące się na innym
serwerze/serwerach.

Najprawdopodobniej jesteśmy ofiarą pomówienia wysłanego przez
włamywacza-szantażystę, któremu wydaje się, że uzyskał bezpośredni dostęp do
serwerów i bazy danych fellow.pl.

Przekazaliśmy sprawę na policję i do działu prawnego…

Powrót

Komentarze

  • 2015.03.18 23:10 delirein

    Obowiązkowy komentarz:
    Wygląda na to, że ktoś im zrobił backdoora….
    ;)

    Odpowiedz
  • 2015.03.18 23:34 Hasov

    No jakbym czytał pismo hakera bonzo xD

    Odpowiedz
  • 2015.03.18 23:54 Mateusz

    Czyżby nawet nie hasowali? Tylko trzymali hasła w bazie otwartym tekstem?

    Odpowiedz
  • 2015.03.19 00:23 Stachu

    Unia europejska i XXI wiek
    + internet

    Odpowiedz
  • 2015.03.19 02:57 misiou

    „Po zaksięgowaniu wpłaty” :D
    a po transakcji liczył na pozytywa, czy jak?
    poza tym fajnie wiedzieć, że gość zamiast kasy, dostał trochę pomarszczonej skóry na dupie. :)

    Odpowiedz
  • 2015.03.19 09:46 maslan

    Nie zadawaj głupich pytań, tylko pozmieniaj hasła na innych serwisach.

    Odpowiedz
  • 2015.03.19 09:51 koza

    Zaprawde powiadam Ci ja wiem wszystko

    Odpowiedz
  • 2015.03.19 10:37 Marcin Rybak

    coś mi się wydaje, że teraz wszyscy użytkownicy zrzucą się na te 5BTC :)

    Odpowiedz
    • 2015.03.19 15:09 Ninja

      BTC pójdą dla hydraulika za czyszczenie rur.

      Odpowiedz
  • 2015.03.19 11:40 4815162342

    Spalić tęcze !

    Odpowiedz
  • 2015.03.19 14:44 abc

    Fake. Niepotrzebnie to napędzacie.

    Odpowiedz
  • 2015.03.19 21:03 Przemysław

    Możecie dodacie do artykułu zrzut z ich kodu źródłowego (bez haseł ofc), bo chętnie bym popatrzył co tam nabazgrali :D

    Odpowiedz
  • 2015.03.20 00:09 Takipewien

    Przydałaby się moderacja, bo za w komentarzach dużo wątków offtopic, niezwiązanych z tematem bezpieczeństwa informatycznego.

    Odpowiedz
  • 2015.03.20 10:51 leszek

    gdzie moredarcja? i co cale homowątki maja wspolnego z z3s? szacunek sie nalezy kazdemu, ale trzymajcie strone na temat. pls

    Odpowiedz
    • 2015.03.20 11:26 Adam

      Poprawione.

      Odpowiedz
  • 2016.01.02 17:00 mariusz

    nie mnien niema dostępu na stronefellow

    Odpowiedz
  • 2021.02.01 01:31 joe

    Znowu „awaria zasilania w serwerowni” – czyli za chwilę znów cała baza będzie latała po internetach :).

    Odpowiedz

Zostaw odpowiedź do Przemysław

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Prawdopodobne włamanie na serwery obsługujące grupę serwisów gejowskich

Komentarze