08.09.2020 | 11:54

Adam Haertle

Wyciek danych klientów sieci Play, którzy mieli konta na forumplay.pl

W sieci znalazł się plik z bazą danych użytkowników oficjalnego forum sieci Play, działającego pod adresem forumplay.pl. Zła wiadomość jest taka, że baza jest dostępna, zaś dobra taka, że z hasłami użytkowników nie pójdzie łatwo włamywaczom.

Wczoraj otrzymaliśmy informację, że na forum w sieci Tor opublikowany został link do wykradzionej bazy użytkowników forumplay.pl. Udało nam się potwierdzić wiarygodność tej informacji, a dzisiaj sam Play także wydał komunikat w tej sprawie.

Co wyciekło

W bazie znaleźć można dane ponad 50 tysięcy użytkowników, którzy korzystali z forum od roku 2012. Dobra wiadomość jest taka, że większość była już od dawna nieaktywna i jest szansa, że ich dane są nieaktualne. Zła jest tak, że baza zawiera dla wszystkich użytkowników:

  • adres e-mail,
  • hash hasła,
  • adres IP,
  • datę urodzenia.

Dodatkowo część użytkowników postanowiła wypełnić także pola nieobowiązkowe na forum, łącząc swoje konta z kontami Facebooka, ujawniającym tym samym swoje dane personalne z FB.

Fragment ujawnionej bazy

Co z tymi hashami

Tu robi się ciekawie, ponieważ to pierwszy widziany przez nas wyciek, w którym w bazie pojawiły się hashe Argon2, uznawane dzisiaj za złoty standard przechowywania hashy haseł. Jest to metoda znacząco utrudniająca ich odgadywanie. Niestety w Argonie2 zapisane były tylko hashe haseł zmienionych lub ustalonych po 31 maja 2020. Wcześniejsze hashe także nie są jednak trywialne do złamania – nie rozpoznajemy samego algorytmu, ale są silnie solone, zatem ich masowe łamanie jest mało prawdopodobne.

Aktualizacja 17:00

Jeden z czytelników poinformował nas, że niestety hashe, które nie używały funkcji Argon2, to solone MD5. Oznacza to, że większość tych hashy może jednak zostać w łatwy sposób złamana / odgadnięta.

Reakcja Playa

Play, powiadomiony o incydencie (nie byliśmy pierwsi), szybko zareagował i wydał komunikat oraz umieścił go na forum, które przy okazji tymczasowo wyłączył. Poniżej w całości:

Informujemy, że w dniu 7 września 2020 r. uzyskaliśmy informację o możliwości wystąpienia nieuprawnionego przetwarzania danych użytkowników Forum Play.

Niezwłocznie po uzyskaniu tej informacji podjęliśmy działania zmierzające do wyjaśnienia i weryfikacji przekazanej informacji.

Dlatego też, do czasu przeprowadzenia pełnej analizy i ustalenia stanu faktycznego, postanowiliśmy zawiesić działanie forum.

W związku z tym zalecamy:

– zachowanie szczególnej ostrożności w przypadku otrzymania na adres e-mail podany na forum korespondencji od nieznanych nadawców, w szczególności wykorzystującej logo/markę Play lub zawierającej załączniki/linki

– zmianę hasła do tych kont w serwisach internetowych, w których identyfikatorem/loginem jest adres e-mail podany na forum, a hasło jest takie samo jak hasło do konta na forum

Podsumowanie

Forum prawdopodobnie zostało zhakowane za pomocą jednego z niedawnych błędów typu 0-day w silniku vBulletin – wskazuje na to data ataku, 11 sierpnia. Podobny los podzieliło wiele analogicznych serwisów. Szkoda, że informację o incydencie trzeba było pozyskać z zewnątrz, ale dobrze, że reakcja firmy była prawidłowa. Klientom warto zaś doradzić, by nie wypełniali dodatkowych pól, jeśli nie są obowiązkowe, lub kłamali w obowiązkowych – nigdy nie wiecie, kiedy dane popłyną w świat…

Powrót

Komentarze

  • 2020.09.08 12:19 ciastkowy

    „Szkoda, ze informację o incydencie trzeba było pozyskać z zewnątrz” – gdyby każdy miał taką czujność i patrzył na każdą ramkę bufora to bym miał ciekawe życie. (tak tak, zaraz mi tu przytoczycie rozwiązania wojskowe, tak jak nie raz słyszałem w stosunku do 1-osobowej działalności).

    Odpowiedz
    • 2020.09.08 12:23 adamh

      No halo, to mówimy o korpo czy firmie jednoosobowej :) A dump bazy to akurat powinien ktoś zauważyć, a po pojawieniu się 0daya to na pewno ktoś powinien logi przegrzebać.

      Odpowiedz
  • 2020.09.08 12:34 Pikolo

    A firmom radzimy NIE zapisywać nieistotnych informacji. Jeśli data urodzenia jest potrzebna do sprawdzenia, że klienci mają >13/18 lat, sprawdźcie czy podana wartość i skasujcie. Połączenie konta z FB? Zapiszcie token połączeniowy, zamiast tworzyć kopię danych, wtedy token można unieważnić po wycieku

    Odpowiedz
    • 2020.09.08 18:10 Leszek

      100/100!

      Podobnie zastanawiam się: czy byłoby praktyczne zapisywanie w bazie pieprzonego (nie solonego, bo potrzebne jest wyszukiwanie) skrótu e-maila zamiast wartości czystym tekstem?

      Ja wiem, że to jest łatwiejsze do zbruteforcowania niż hasło, ale przy zastosowaniu Argon2 byłoby to istotnie bezpieczniejsze niż czysty tekst.

      Any ideas?

      Odpowiedz
    • 2020.09.08 19:26 dzek

      a rodo i chyba tzw „minimalizacja danych” nie miała właśnie na tym polegać?

      inna sprawa, że klasyczne fora rządziły się swoimi prawami – tam większość tych dodatkowych pól była publiczna tak czy siak

      Odpowiedz
    • 2020.09.09 06:49 Wiesław Informatyk Szkolny HTML Hacker

      Tylko że to owszem się da, ale w customowym rozwiązaniu, a tu jechali na vBulletinie. Może coś tam można zgasić w konfiguracji, ale zwykle niewiele, bo pełno zbędnych funkcji/bajerów opiera się o zebrane informacje.

      W ogóle używanie vB to brak rozeznania – tyle na nich było już 0day, devs tam nic się nie uczą, błędy poprawiają tworząc większe błędy. Mogliby zmienić nazwę na v0daylletin :)

      Odpowiedz
    • 2020.09.10 08:25 Homohomini

      Pytanie do czego ta data była potrzebna? Jeżeli regulamin zakładał, że z forum mogą korzystać tylko osoby pełnoletnie to wystarczył checkbox „Jestem pełnoletni / jestem pełnoletnia”.

      Odpowiedz
  • 2020.09.08 16:31 Zdzisław

    Czy będzie kara jak dla morele?

    Odpowiedz
    • 2020.09.08 17:25 fd

      A czy wyciekły jakieś dane osobowe?

      Odpowiedz
      • 2020.09.08 21:03 Filip

        A czytałeś jakiś artykył czy tak tylko wpadłeś się przywitać?

        Odpowiedz
      • 2020.09.09 19:39 seq

        Adres e-mail w powiązaniu z datą urodzenia to moim zdaniem dane osobowe.
        Jeżeli się mylę, poprawcie mnie.

        Odpowiedz
  • 2020.09.08 17:43 G

    Dzisiaj rano wszedłem na to forum po dłuższej przerwie i pierwsze co rzuciło mi się w oczy to brak favicon. W zakładakch mam tylko favicony to takie rzeczy zauważam od razu. Zresztą nawet to zgłosiłem. Zamiast tej Playowej była defaultowa vBulletin. Ciekawe czy nie miało to związku z tym wyciekiem?

    Odpowiedz
  • 2020.09.08 20:44 Jarek

    Cholibka. Sprawdziłem, że:
    * Miałem tam ustawione „bezpieczne hasło” (wygenerowane przez menażer haseł, a zatem unikalne) – więc dobrze.
    * Miałem tam podany … ważny prywatny adres e-mail, który od dłuższego czasu podawałem tylko w bankach i ważnych instytucjach – tu znacznie gorzej.
    Niestety, skoro zamknęli forum nie sprawdzę jakie dane podałem na forum, ale raczej nic ważnego.

    Odpowiedz
  • 2020.09.08 21:12 Filip

    Gdzie takich dumpow szukac?

    Odpowiedz
    • 2020.09.08 22:47 Robert

      w duckduckgo wpisz Wycieki polskich baz danych

      Odpowiedz
  • 2020.09.08 22:06 asdsad

    „nieuprawnione przetwarzanie danych” -dyplomacja… :)

    Odpowiedz
  • 2020.09.13 22:50 Paweł

    Mam konto na tym forum, będzie trzeba zmienić hasło. Zaniepokoił mnie ten fakt. Na szczęście mam każde inne hasło do poczty, itp.

    Odpowiedz
  • 2020.09.15 08:44 Johny graj

    Forum nieczynne jest już tydzień. Co za straszna nieudolność. Co im da zamykanie forum kiedy dane już są w obiegu ? Musztarda po obiedzie.
    Jakieś pól roku temu wprowadzili nowe forum i od razu taka wtopa !!

    Odpowiedz
  • 2020.09.15 08:48 Johny graj

    żeby było jeszcze zabawniej Play znany jest z tego że wymusza na uzytkownikach dane osobowe nadmiarowe np podczas rejestracji albo podpisywania umowy. I teraz to wszystko. wyłudzone od klientów dane znalazły sie na zewnątrz dostępne prawie publicznie. Przydała by się Solidna kara od GIODO.

    Odpowiedz
  • 2020.09.16 08:59 Roman

    blog.play.pl tez pociekl

    Odpowiedz
  • 2020.10.07 19:15 John Doe

    Chciałem się zalogować by sprawdzić czy podałem tam realną datę urodzenia (w co wątpię, prawie nigdy tego nie robię), ale nie da się tam zalogować.

    Mój mail to dawno temu jest znany każdym spambotom więc whatever

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wyciek danych klientów sieci Play, którzy mieli konta na forumplay.pl

Komentarze