Wyciek danych klientów sieci Play, którzy mieli konta na forumplay.pl
W sieci znalazł się plik z bazą danych użytkowników oficjalnego forum sieci Play, działającego pod adresem forumplay.pl. Zła wiadomość jest taka, że baza jest dostępna, zaś dobra taka, że z hasłami użytkowników nie pójdzie łatwo włamywaczom.
Wczoraj otrzymaliśmy informację, że na forum w sieci Tor opublikowany został link do wykradzionej bazy użytkowników forumplay.pl. Udało nam się potwierdzić wiarygodność tej informacji, a dzisiaj sam Play także wydał komunikat w tej sprawie.
Co wyciekło
W bazie znaleźć można dane ponad 50 tysięcy użytkowników, którzy korzystali z forum od roku 2012. Dobra wiadomość jest taka, że większość była już od dawna nieaktywna i jest szansa, że ich dane są nieaktualne. Zła jest tak, że baza zawiera dla wszystkich użytkowników:
- adres e-mail,
- hash hasła,
- adres IP,
- datę urodzenia.
Dodatkowo część użytkowników postanowiła wypełnić także pola nieobowiązkowe na forum, łącząc swoje konta z kontami Facebooka, ujawniającym tym samym swoje dane personalne z FB.
Co z tymi hashami
Tu robi się ciekawie, ponieważ to pierwszy widziany przez nas wyciek, w którym w bazie pojawiły się hashe Argon2, uznawane dzisiaj za złoty standard przechowywania hashy haseł. Jest to metoda znacząco utrudniająca ich odgadywanie. Niestety w Argonie2 zapisane były tylko hashe haseł zmienionych lub ustalonych po 31 maja 2020. Wcześniejsze hashe także nie są jednak trywialne do złamania – nie rozpoznajemy samego algorytmu, ale są silnie solone, zatem ich masowe łamanie jest mało prawdopodobne.
Aktualizacja 17:00
Jeden z czytelników poinformował nas, że niestety hashe, które nie używały funkcji Argon2, to solone MD5. Oznacza to, że większość tych hashy może jednak zostać w łatwy sposób złamana / odgadnięta.
Reakcja Playa
Play, powiadomiony o incydencie (nie byliśmy pierwsi), szybko zareagował i wydał komunikat oraz umieścił go na forum, które przy okazji tymczasowo wyłączył. Poniżej w całości:
Informujemy, że w dniu 7 września 2020 r. uzyskaliśmy informację o możliwości wystąpienia nieuprawnionego przetwarzania danych użytkowników Forum Play.
Niezwłocznie po uzyskaniu tej informacji podjęliśmy działania zmierzające do wyjaśnienia i weryfikacji przekazanej informacji.
Dlatego też, do czasu przeprowadzenia pełnej analizy i ustalenia stanu faktycznego, postanowiliśmy zawiesić działanie forum.
W związku z tym zalecamy:
– zachowanie szczególnej ostrożności w przypadku otrzymania na adres e-mail podany na forum korespondencji od nieznanych nadawców, w szczególności wykorzystującej logo/markę Play lub zawierającej załączniki/linki
– zmianę hasła do tych kont w serwisach internetowych, w których identyfikatorem/loginem jest adres e-mail podany na forum, a hasło jest takie samo jak hasło do konta na forum
Podsumowanie
Forum prawdopodobnie zostało zhakowane za pomocą jednego z niedawnych błędów typu 0-day w silniku vBulletin – wskazuje na to data ataku, 11 sierpnia. Podobny los podzieliło wiele analogicznych serwisów. Szkoda, że informację o incydencie trzeba było pozyskać z zewnątrz, ale dobrze, że reakcja firmy była prawidłowa. Klientom warto zaś doradzić, by nie wypełniali dodatkowych pól, jeśli nie są obowiązkowe, lub kłamali w obowiązkowych – nigdy nie wiecie, kiedy dane popłyną w świat…
Podobne wpisy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Jak Ściąga.pl została zdjęta przez FBI, ale tak naprawdę to nie
- Revolut zhakowany, wykradziono dane ponad 50 tysięcy klientów
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
„Szkoda, ze informację o incydencie trzeba było pozyskać z zewnątrz” – gdyby każdy miał taką czujność i patrzył na każdą ramkę bufora to bym miał ciekawe życie. (tak tak, zaraz mi tu przytoczycie rozwiązania wojskowe, tak jak nie raz słyszałem w stosunku do 1-osobowej działalności).
No halo, to mówimy o korpo czy firmie jednoosobowej :) A dump bazy to akurat powinien ktoś zauważyć, a po pojawieniu się 0daya to na pewno ktoś powinien logi przegrzebać.
A firmom radzimy NIE zapisywać nieistotnych informacji. Jeśli data urodzenia jest potrzebna do sprawdzenia, że klienci mają >13/18 lat, sprawdźcie czy podana wartość i skasujcie. Połączenie konta z FB? Zapiszcie token połączeniowy, zamiast tworzyć kopię danych, wtedy token można unieważnić po wycieku
100/100!
Podobnie zastanawiam się: czy byłoby praktyczne zapisywanie w bazie pieprzonego (nie solonego, bo potrzebne jest wyszukiwanie) skrótu e-maila zamiast wartości czystym tekstem?
Ja wiem, że to jest łatwiejsze do zbruteforcowania niż hasło, ale przy zastosowaniu Argon2 byłoby to istotnie bezpieczniejsze niż czysty tekst.
Any ideas?
a rodo i chyba tzw „minimalizacja danych” nie miała właśnie na tym polegać?
inna sprawa, że klasyczne fora rządziły się swoimi prawami – tam większość tych dodatkowych pól była publiczna tak czy siak
Tylko że to owszem się da, ale w customowym rozwiązaniu, a tu jechali na vBulletinie. Może coś tam można zgasić w konfiguracji, ale zwykle niewiele, bo pełno zbędnych funkcji/bajerów opiera się o zebrane informacje.
W ogóle używanie vB to brak rozeznania – tyle na nich było już 0day, devs tam nic się nie uczą, błędy poprawiają tworząc większe błędy. Mogliby zmienić nazwę na v0daylletin :)
Pytanie do czego ta data była potrzebna? Jeżeli regulamin zakładał, że z forum mogą korzystać tylko osoby pełnoletnie to wystarczył checkbox „Jestem pełnoletni / jestem pełnoletnia”.
Czy będzie kara jak dla morele?
A czy wyciekły jakieś dane osobowe?
A czytałeś jakiś artykył czy tak tylko wpadłeś się przywitać?
Adres e-mail w powiązaniu z datą urodzenia to moim zdaniem dane osobowe.
Jeżeli się mylę, poprawcie mnie.
Dzisiaj rano wszedłem na to forum po dłuższej przerwie i pierwsze co rzuciło mi się w oczy to brak favicon. W zakładakch mam tylko favicony to takie rzeczy zauważam od razu. Zresztą nawet to zgłosiłem. Zamiast tej Playowej była defaultowa vBulletin. Ciekawe czy nie miało to związku z tym wyciekiem?
Cholibka. Sprawdziłem, że:
* Miałem tam ustawione „bezpieczne hasło” (wygenerowane przez menażer haseł, a zatem unikalne) – więc dobrze.
* Miałem tam podany … ważny prywatny adres e-mail, który od dłuższego czasu podawałem tylko w bankach i ważnych instytucjach – tu znacznie gorzej.
Niestety, skoro zamknęli forum nie sprawdzę jakie dane podałem na forum, ale raczej nic ważnego.
Gdzie takich dumpow szukac?
w duckduckgo wpisz Wycieki polskich baz danych
„nieuprawnione przetwarzanie danych” -dyplomacja… :)
Mam konto na tym forum, będzie trzeba zmienić hasło. Zaniepokoił mnie ten fakt. Na szczęście mam każde inne hasło do poczty, itp.
Forum nieczynne jest już tydzień. Co za straszna nieudolność. Co im da zamykanie forum kiedy dane już są w obiegu ? Musztarda po obiedzie.
Jakieś pól roku temu wprowadzili nowe forum i od razu taka wtopa !!
żeby było jeszcze zabawniej Play znany jest z tego że wymusza na uzytkownikach dane osobowe nadmiarowe np podczas rejestracji albo podpisywania umowy. I teraz to wszystko. wyłudzone od klientów dane znalazły sie na zewnątrz dostępne prawie publicznie. Przydała by się Solidna kara od GIODO.
blog.play.pl tez pociekl
Chciałem się zalogować by sprawdzić czy podałem tam realną datę urodzenia (w co wątpię, prawie nigdy tego nie robię), ale nie da się tam zalogować.
Mój mail to dawno temu jest znany każdym spambotom więc whatever