03.12.2015 | 14:09

Adam Haertle

Wyciek danych 30 tysięcy użytkowników serwisu SopCastHD

Od równego miesiąca w sieci znajduje się publicznie dostępna, zindeksowana przez Google baza użytkowników popularnego serwisu streamingowego SopCastHD. Serwery testowe warto jednak czasem zabezpieczać.

Streaming w internecie jest dość popularną usługą. Szczególnie oblegane są serwisy udostępniające wydarzenia sportowe, a szczyty popularności osiągają transmisje meczów piłki nożnej. W tej właśnie dziedzinie specjalizuje się SopCastHD. Niestety nie specjalizuje się w ochronie danych swoich klientów.

Serwer tak bardzo testowy

Od anonimowego Czytelnika otrzymaliśmy link do serwera dostępnego publicznie w internecie, na którym znajduje się plik ze zrzutem bazy danych serwisu SopCastHD.pl. Nazwa serwera sugeruje, że jest to maszyna testowa, z kolei informacje zawarte w pliku oraz data jego zamieszczenia na serwerze potwierdzają, że jest to zrzut bazy z 3 listopada 2015, zatem dość świeży.

W pliku bazy znajduje się 33 278 rekordów zawierających takie dane użytkowników jak login, adres email, hasz hasła oraz data ważności konta.

Fragment bazy danych

Fragment bazy danych

Niestety autor systemu użył do tworzenia skrótów haseł funkcji MD5, która sprawia, że znakomita większość haseł jest trywialna do odgadnięcia. Ich powiązanie z adresami poczty elektronicznej sprawia, że konta pocztowe użytkowników, którzy stosowali to samo hasło w serwisie SopCastHD i w swojej skrzynce mogą wkrótce paść ofiarą włamania.

Niestety wszystko wskazuje na to, że dostępność bazy w sieci jest wynikiem niefrasobliwości administratora serwisu, który testując skrypt do wyciągania z bazy adresów email (skrypt dostępny jest w tym samym katalogu na tym samym serwerze) zapomniał ograniczyć dostęp do danych. Do tego jeszcze plik został zindeksowany przez Google, dzięki czemu zapewne nie raz został już odwiedzony i pobrany. Jeśli zatem macie konto na SopCastHD to szybko zmieniajcie hasła do innych serwisów (o ile macie takie same) zanim będzie za późno.

O wycieku chcieliśmy poinformować właściciela serwisu, ale niestety nie znaleźliśmy zakładki Kontakt.

Powrót

Komentarze

  • 2015.12.03 15:58 test

    Admin został poinformowany 2 minuty po wycieku, dzięki uprzejmości jednego z anonimowych użytkowników. Do tego stało się to dość dawno temu. Pozdrawiam

    Odpowiedz
    • 2015.12.03 17:12 Adam

      To dlaczego dane są nadal dostępne?

      Odpowiedz
      • 2015.12.03 19:24 admin

        No właśnie to chyba samo w sobie jest odpowiedzią, że admin ma wyj….e na uzytkownikow swojego serwisu. Zreszta takie serwisy nie streamuja legalnie w 90%, wiec brak kontaktu rowniez nie dziwi.

        Odpowiedz
    • 2015.12.03 18:20 Vizzdoom

      Admin to niech lepiej zamknie tę stronę, zleci testy, poprawki i dopiero całość otworzy, bo błędów jest tam więcej – chyba, że jakieś 'hackme’ wystawiają… http://sopcasthd.pl/index.php?error=9%3Cscript/src=data:,alert(1)%26sol;%26sol;

      Odpowiedz
      • 2015.12.04 09:41 aaa

        Pan Vizzdoom to niech lepiej nie robi niezamówionych testów penetracyjnych…

        Odpowiedz
        • 2015.12.04 13:43 Vizzdoom

          To tylko link, żadne testowanie i nic nielegalnego. Nie spinajcie się, lepiej poprawcie trochę stronę. Znacie http://www.xssed.com/, hm?

          Odpowiedz
  • 2015.12.03 17:10 AdNEt

    Moze jakis Voucher na ksiazki HELIONA o bezpieczenstwie w IT podrzucice za pomoc w odnalejzieniu kontakt do administratora…
    Cytuje”Mój mail: pawelgodlewsky at gmail.com”

    ;)

    Odpowiedz
  • 2015.12.03 18:51 Rysiek

    Taki komunikat pojawił się właśnie na stronie SopCast

    WSZYSCY UŻYTKOWNICY PROSZENI SĄ O ZMIANĘ HASŁA!

    a kolega „test” to chyba admin tego serwisu

    Odpowiedz
  • 2015.12.03 19:08 Seweryn

    Chyba jednak wiedzą o wycieku bo na stronie jest info

    „WSZYSCY UŻYTKOWNICY PROSZENI SĄ O ZMIANĘ HASŁA!”

    Odpowiedz
  • 2015.12.03 21:18 Jarek

    W Google dalej są zindeksowane, ale wejście zwraca 404.

    Odpowiedz
  • 2015.12.03 23:32 sopcast

    Witam. Wiemy o wycieku. Potwierdzamy, że to nasze niedopatrzenie. Podaliśmy informację o tym żeby użytkownicy zmienili hasło. Nie zostaliśmy poinformowani przez nikogo. Wszystko już jest pod kontrolą. Dziękuję za zamieszczenie tego artykułu, mogłem dowiedzieć się jak strasznie należy uważać. Vizzdoom: Dziękuje za uwagę, owszem mógłbym znaleźć błędy na stronie, które nie uniemożliwiają korzystania ze strony. Więc zamknięcie chyba nie jest potrzebne.. Jeśli chodzi o kontakt na stronie mamy ikonę facebooka, można w nią kliknąć i napisać do nas – zwykle odpowiemy w parę min.
    Jeśli tutaj ktoś korzystał z naszej strony to przepraszamy za problem. Autorowi tekstu dziękuje za uświadomienie.
    Pozdrawiam. Admin http://www.sopcasthd.pl

    Odpowiedz
    • 2015.12.04 11:45 Tomasz

      Moze byloby zasadne wynullowanie wszystkich hasel dla bezpieczenstwa uzytkownikow? Niech resetuja. Warto tez uswiadomic, ze jesli to jest to samo haslo co do poczty, to osoba jest w tarapatach.
      Druga sprawa jest indeksowanie pliku – wypadaloby zglosic kopie do usuniecia z cache wyszukiwarek.

      Odpowiedz
  • 2015.12.04 09:54 aaa

    Czytam komentarze i niedowierzam. Jedni wysyłają książki a inni testują bez zlecenia. Ot, zwykła stonka z sqli i zwykły wyciek danych. Jeżeli ktoś to wykrył to powinien zgłosić np przez konto na fb, dla chcącego nic trudnego.

    Odpowiedz
  • 2015.12.04 13:17 rewolwerowiec

    Nieraz pisze się łącznie: http://sjp.pwn.pl/slowniki/nieraz.html .

    Odpowiedz
    • 2015.12.04 14:10 Adam

      Nie raz w sensie „nie jeden raz” piszemy rozdzielnie. Link ten sam co Twój, tylko trzeba doczytać :)

      Odpowiedz
      • 2015.12.04 14:37 rewolwerowiec

        W żadnym razie! W sensie „nie jeden raz” oznacza dwa, trzy lub więcej, ale nadal coś policzalnego. Z wpisu ewidentnie wynika, że chodzi o znaczenie „często”, coś nieokreślonego. Pozdrawiam :)

        Odpowiedz
        • 2015.12.04 16:59 Adam

          Jeśli wiesz lepiej co autor artykułu miał na myśli to może zmienię podpis?

          Odpowiedz
          • 2015.12.04 17:12 rewolwerowiec

            Spokojnie, zapewne wie Pan lepiej jak powinno być napisane. Z adblockerami też Pan wiedział lepiej.. ;v

        • 2016.01.08 09:41 Kamil

          Pobrania są zapewne logowane, na podstawie logów da się policzyć ile razy pobrano, więc jest policzalne. Wobec tego moim zdaniem w artykule jest poprawnie.

          Odpowiedz
  • 2015.12.04 21:24 yy

    Adam:
    touché :D

    rewolwerowiec:
    daj-se-siana
    🔫

    Odpowiedz

Zostaw odpowiedź do Vizzdoom

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek danych 30 tysięcy użytkowników serwisu SopCastHD

Komentarze