Od równego miesiąca w sieci znajduje się publicznie dostępna, zindeksowana przez Google baza użytkowników popularnego serwisu streamingowego SopCastHD. Serwery testowe warto jednak czasem zabezpieczać.
Streaming w internecie jest dość popularną usługą. Szczególnie oblegane są serwisy udostępniające wydarzenia sportowe, a szczyty popularności osiągają transmisje meczów piłki nożnej. W tej właśnie dziedzinie specjalizuje się SopCastHD. Niestety nie specjalizuje się w ochronie danych swoich klientów.
Serwer tak bardzo testowy
Od anonimowego Czytelnika otrzymaliśmy link do serwera dostępnego publicznie w internecie, na którym znajduje się plik ze zrzutem bazy danych serwisu SopCastHD.pl. Nazwa serwera sugeruje, że jest to maszyna testowa, z kolei informacje zawarte w pliku oraz data jego zamieszczenia na serwerze potwierdzają, że jest to zrzut bazy z 3 listopada 2015, zatem dość świeży.
W pliku bazy znajduje się 33 278 rekordów zawierających takie dane użytkowników jak login, adres email, hasz hasła oraz data ważności konta.
Fragment bazy danych
Niestety autor systemu użył do tworzenia skrótów haseł funkcji MD5, która sprawia, że znakomita większość haseł jest trywialna do odgadnięcia. Ich powiązanie z adresami poczty elektronicznej sprawia, że konta pocztowe użytkowników, którzy stosowali to samo hasło w serwisie SopCastHD i w swojej skrzynce mogą wkrótce paść ofiarą włamania.
Niestety wszystko wskazuje na to, że dostępność bazy w sieci jest wynikiem niefrasobliwości administratora serwisu, który testując skrypt do wyciągania z bazy adresów email (skrypt dostępny jest w tym samym katalogu na tym samym serwerze) zapomniał ograniczyć dostęp do danych. Do tego jeszcze plik został zindeksowany przez Google, dzięki czemu zapewne nie raz został już odwiedzony i pobrany. Jeśli zatem macie konto na SopCastHD to szybko zmieniajcie hasła do innych serwisów (o ile macie takie same) zanim będzie za późno.
O wycieku chcieliśmy poinformować właściciela serwisu, ale niestety nie znaleźliśmy zakładki Kontakt.
Komentarze
Admin został poinformowany 2 minuty po wycieku, dzięki uprzejmości jednego z anonimowych użytkowników. Do tego stało się to dość dawno temu. Pozdrawiam
To dlaczego dane są nadal dostępne?
No właśnie to chyba samo w sobie jest odpowiedzią, że admin ma wyj….e na uzytkownikow swojego serwisu. Zreszta takie serwisy nie streamuja legalnie w 90%, wiec brak kontaktu rowniez nie dziwi.
Admin to niech lepiej zamknie tę stronę, zleci testy, poprawki i dopiero całość otworzy, bo błędów jest tam więcej – chyba, że jakieś 'hackme’ wystawiają… http://sopcasthd.pl/index.php?error=9%3Cscript/src=data:,alert(1)%26sol;%26sol;
Pan Vizzdoom to niech lepiej nie robi niezamówionych testów penetracyjnych…
To tylko link, żadne testowanie i nic nielegalnego. Nie spinajcie się, lepiej poprawcie trochę stronę. Znacie http://www.xssed.com/, hm?
Moze jakis Voucher na ksiazki HELIONA o bezpieczenstwie w IT podrzucice za pomoc w odnalejzieniu kontakt do administratora…
Cytuje”Mój mail: pawelgodlewsky at gmail.com”
;)
Taki komunikat pojawił się właśnie na stronie SopCast
WSZYSCY UŻYTKOWNICY PROSZENI SĄ O ZMIANĘ HASŁA!
a kolega „test” to chyba admin tego serwisu
Chyba jednak wiedzą o wycieku bo na stronie jest info
„WSZYSCY UŻYTKOWNICY PROSZENI SĄ O ZMIANĘ HASŁA!”
W Google dalej są zindeksowane, ale wejście zwraca 404.
Witam. Wiemy o wycieku. Potwierdzamy, że to nasze niedopatrzenie. Podaliśmy informację o tym żeby użytkownicy zmienili hasło. Nie zostaliśmy poinformowani przez nikogo. Wszystko już jest pod kontrolą. Dziękuję za zamieszczenie tego artykułu, mogłem dowiedzieć się jak strasznie należy uważać. Vizzdoom: Dziękuje za uwagę, owszem mógłbym znaleźć błędy na stronie, które nie uniemożliwiają korzystania ze strony. Więc zamknięcie chyba nie jest potrzebne.. Jeśli chodzi o kontakt na stronie mamy ikonę facebooka, można w nią kliknąć i napisać do nas – zwykle odpowiemy w parę min.
Jeśli tutaj ktoś korzystał z naszej strony to przepraszamy za problem. Autorowi tekstu dziękuje za uświadomienie.
Pozdrawiam. Admin http://www.sopcasthd.pl
Moze byloby zasadne wynullowanie wszystkich hasel dla bezpieczenstwa uzytkownikow? Niech resetuja. Warto tez uswiadomic, ze jesli to jest to samo haslo co do poczty, to osoba jest w tarapatach.
Druga sprawa jest indeksowanie pliku – wypadaloby zglosic kopie do usuniecia z cache wyszukiwarek.
Czytam komentarze i niedowierzam. Jedni wysyłają książki a inni testują bez zlecenia. Ot, zwykła stonka z sqli i zwykły wyciek danych. Jeżeli ktoś to wykrył to powinien zgłosić np przez konto na fb, dla chcącego nic trudnego.
Nieraz pisze się łącznie: http://sjp.pwn.pl/slowniki/nieraz.html .
Nie raz w sensie „nie jeden raz” piszemy rozdzielnie. Link ten sam co Twój, tylko trzeba doczytać :)
W żadnym razie! W sensie „nie jeden raz” oznacza dwa, trzy lub więcej, ale nadal coś policzalnego. Z wpisu ewidentnie wynika, że chodzi o znaczenie „często”, coś nieokreślonego. Pozdrawiam :)
Jeśli wiesz lepiej co autor artykułu miał na myśli to może zmienię podpis?
Spokojnie, zapewne wie Pan lepiej jak powinno być napisane. Z adblockerami też Pan wiedział lepiej.. ;v
Pobrania są zapewne logowane, na podstawie logów da się policzyć ile razy pobrano, więc jest policzalne. Wobec tego moim zdaniem w artykule jest poprawnie.
Adam:
touché :D
rewolwerowiec:
daj-se-siana
🔫