Uwaga użytkownicy Jabbera! Wyciek danych oraz podsłuchy

dodał 26 czerwca 2016 o 21:31 w kategorii Włamania, Wpadki  z tagami:
Uwaga użytkownicy Jabbera! Wyciek danych oraz podsłuchy

Jabber (po ustandaryzowaniu zwany obecnie XMPP) okres świetności ma już za sobą (tak, był kiedyś taki protokół komunikacji), jednak nie znaczy to, że nikt z niego nie korzysta – ani że nie ma związanych z nim incydentów.

Przez zbieg okoliczności musimy Was dzisiaj poinformować o dwóch problemach związanych z Jabberem / XMPP. Po pierwsze prawdopodobnie wyciekła lista użytkowników i ich haseł z serwisu Jabbim.cz, który obsługiwał także polskie adresy Jabbim.pl i Jabster.pl. Po drugie zaobserwowano próby podsłuchiwania połączeń XMPP prowadzone przez kilka złośliwych węzłów sieci Tor.

Wyciek z Jabbim.cz

Na Twitterze rosyjskiej grupy zajmującej się m.in. handlem danymi użytkowników w0rm.ws pojawił się wpis następującej treści:

jabbim.cz .ws SHELL/DB for sale! over 1 million records! L:P plain text jid:joe_doe@fuckav.im

Sugeruje on wyciek bazy ponad miliona kont Jabbera z popularnego czeskiego serwisu, który aktywnie działał także na terenie Polski. Co gorsza wygląda na to, że hasła użytkowników były przychowywane w formie jawnej. Wpisowi towarzyszył także zrzut ekranu który odpowiednio zanonimizowaliśmy:

Fragment bazy Jabbim.cz

Fragment bazy Jabbim.cz

Niestety zrzut ekranu wygląda w miarę wiarygodnie. Jeśli mieliście tam konto, to możecie uznać jego hasło za ujawnione i podjąć rytualne czynności z tym związane.

Podsłuch w złośliwych węzłach sieci Tor

Choć informacja pochodzi z marca tego roku, to trafiła do nas dopiero dzisiaj. Szwajcarski blog poinformował, że zauważył ataki MiTM na wiele serwisów XMPP przeprowadzane przez złośliwe węzły sieci Tor. Atakowane były co najmniej serwisy takie jak:

  • freifunk.im
  • jabber.ccc.de
  • jabber.systemli.org
  • jappix.org
  • jodo.im
  • pad7.de
  • swissjabber.ch
  • tigase.me

Nie jest wykluczone, że lista była dużo dłuższa. Ataki trwały co najmniej kilka dni. Pokazuje to bardzo realne, choć rzadko odnotowywane zagrożenie – gdy używacie sieci Tor, to każdy kontrolujący węzeł wyjściowy tej sieci może podsłuchać Wasz ruch. Przed takim ryzykiem ratuje tylko i wyłącznie szyfrowanie ruchu w dodatkowy sposób (np. poprzez korzystanie tylko z protokołów zapewniających własną warstwę szyfrowania). Pamiętajcie zatem, by Torowi nie ufać – nie tylko gdy jesteście użytkownikami XMPP.