Wyciek danych 30 tysięcy użytkowników serwisu SopCastHD

dodał 3 grudnia 2015 o 14:09 w kategorii Wpadki  z tagami:
Wyciek danych 30 tysięcy użytkowników serwisu SopCastHD

Od równego miesiąca w sieci znajduje się publicznie dostępna, zindeksowana przez Google baza użytkowników popularnego serwisu streamingowego SopCastHD. Serwery testowe warto jednak czasem zabezpieczać.

Streaming w internecie jest dość popularną usługą. Szczególnie oblegane są serwisy udostępniające wydarzenia sportowe, a szczyty popularności osiągają transmisje meczów piłki nożnej. W tej właśnie dziedzinie specjalizuje się SopCastHD. Niestety nie specjalizuje się w ochronie danych swoich klientów.

Serwer tak bardzo testowy

Od anonimowego Czytelnika otrzymaliśmy link do serwera dostępnego publicznie w internecie, na którym znajduje się plik ze zrzutem bazy danych serwisu SopCastHD.pl. Nazwa serwera sugeruje, że jest to maszyna testowa, z kolei informacje zawarte w pliku oraz data jego zamieszczenia na serwerze potwierdzają, że jest to zrzut bazy z 3 listopada 2015, zatem dość świeży.

W pliku bazy znajduje się 33 278 rekordów zawierających takie dane użytkowników jak login, adres email, hasz hasła oraz data ważności konta.

Fragment bazy danych

Fragment bazy danych

Niestety autor systemu użył do tworzenia skrótów haseł funkcji MD5, która sprawia, że znakomita większość haseł jest trywialna do odgadnięcia. Ich powiązanie z adresami poczty elektronicznej sprawia, że konta pocztowe użytkowników, którzy stosowali to samo hasło w serwisie SopCastHD i w swojej skrzynce mogą wkrótce paść ofiarą włamania.

Niestety wszystko wskazuje na to, że dostępność bazy w sieci jest wynikiem niefrasobliwości administratora serwisu, który testując skrypt do wyciągania z bazy adresów email (skrypt dostępny jest w tym samym katalogu na tym samym serwerze) zapomniał ograniczyć dostęp do danych. Do tego jeszcze plik został zindeksowany przez Google, dzięki czemu zapewne nie raz został już odwiedzony i pobrany. Jeśli zatem macie konto na SopCastHD to szybko zmieniajcie hasła do innych serwisów (o ile macie takie same) zanim będzie za późno.

O wycieku chcieliśmy poinformować właściciela serwisu, ale niestety nie znaleźliśmy zakładki Kontakt.