Włamanie i wyciek danych z serwerów ImageShack.us

dodał 5 listopada 2012 o 01:27 w kategorii Włamania, Wpadki  z tagami:
Włamanie i wyciek danych z serwerów ImageShack.us

Kilka godzin temu w serwisie pastebin.com pojawił się zin nr 4 grupy HTP, opisujący między innymi włamanie do popularnego serwisu ImageShack. Według opisu włamywaczy mieli oni od lat dostęp do całej sieci wewnętrznej firmy. Potwierdzają to dowody.

ImageShack.us to jeden z najpopularniejszych serwisów służących do udostępniania plików graficznych. Włamywacze z grupy Hack The Planet twierdzą, że posiadali od dawna pełen dostęp do infrastruktury firmy, włącznie z uprawnieniami administracyjnymi na wszystkich serwerach i ruterach. Opublikowali także dane 118 tysięcy kont użytkowników serwisu. Firmie zarzucają  takie błędy jak uruchamianie wszystkich instancji MySQL z uprawnieniami roota, korzystanie z jąder systemów starszych niż 2008, zapisywanie haseł do baz danych gdzie popadnie, błędną konfigurację firewalli i korzystanie z przestarzałego serwera Nginxa.

Nagłówek zina w starym, dobrym stylu

Na dowód swoich słów włamywacze opublikowali liczne pliki konfiguracyjne serwerów ImageShack oraz yfrog.com(jednej z marek ImageShack), listingi katalogów głównego serwera www (podane ścieżki do plików faktycznie istnieją na serwerze) strukturę baz danych czy zawartość plików odpowiedzialnych za autoryzację użytkowników. W listingach trafiają się takie perełki jak na przykład

// example: http://gslb.imageshack.us/dev/rebootapi.php?server=$sname&redirect=yes&pass=holyshityoucanreboot&user=$user

W załącznikach, umieszczonych na końcu zina, znalazły się także wszystkie co istotniejsze pliki konfiguracyjne serwerów www wraz z hasłami dostępowymi API i baz danych. Jednym z opublikowanych plików jest baza SQLite, zawierająca prawie 118 tysięcy kont email użytkowników wraz z hashami haseł w formacie MD5, w tym co najmniej kilkaset należących do Polaków. Jeśli zatem mieliście tam konto, zapraszamy do zmiany hasła.

Ilość opublikowanych danych jednoznacznie wskazuje na poważne problemy ImageShack. Trudno na podstawie ujawnionych plików ocenić, czy prawdziwe jest twierdzenie, że włamywacze mieli dostęp do zasobów firmy od dłuższego czasu, jednak bez wątpienia posiadali kontrolę nad kluczowymi z punktu widzenia firmy serwerami.

Zin zawiera również strukturę danych bliżej niesprecyzowanej bazy Symanteca wraz ze zrzutem kilku tysięcy rekordów z tablicy zawierającej dane pracowników tej firmy. W rekordach znajdują się takie informacje jak imię, nazwisko, adres email czy hash hasła, brak jednak bliższych informacji co do jej pochodzenia.

PS. Wbrew temu, co twierdzą niektóre inne serwisy, włamanie nie było dziełem Anonymous. HTP nie ma z tym ruchem nic wspólnego. Dodatkowo w zinie nie ma śladu po włamaniu do Paypala, o którym wszyscy wspominają, a exploit, na który wskazują, dotyczy zupełnie innej usługi i był wcześniej już znany.