Wyciekła baza 1,3 mln kont nastolatek wraz z hasłami otwartym tekstem

dodał 13 marca 2013 o 14:31 w kategorii Włamania  z tagami:
Wyciekła baza 1,3 mln kont nastolatek wraz z hasłami otwartym tekstem

Pewnie większość z Was nie słyszała nigdy o serwisie Glitery.pl, bardzo popularnym wśród dziewczyn w wieku 10-18 lat. Niestety pojawiła się wiarygodna oferta sprzedaży bazy serwisu, zawierającej ponad 1,3 miliona kont z hasłami otwartym tekstem!

Serwis Glitery.pl, należący do firmy Vexigo, umożliwia użytkownikom przerobienie własnych obrazków oraz wyświetlenie ich w swojej galerii i poddanie ocenie pozostałych uczestników zabawy. Większość korzystających z serwisu to nastolatki.


Przykład pliku z serwisu Glitery.pl

Przykład pliku z serwisu Glitery.pl

Kilka dni temu na forum Polish Board & Market pojawiła się oferta sprzedaży bazy serwisu, wystawiona – tu miejsce na chwilę zaskoczenia – nie przez nvm`a, lecz innego użytkownika, występującego pod nickiem h0xyS_PL.


Oferta sprzedaży bazy

Oferta sprzedaży bazy

Ustalenie źródła wycieku

Początkowo nie znaliśmy źródła wycieku danych, jednak, na prośbę innych użytkowników forum, sprzedawca przedstawił we wpisie udostępnionym jedynie ograniczonej grupie forumowiczów fragment oferowanej bazy. Dzięki uprzejmości jednego z czytelników uzyskaliśmy dostęp do ujawnionych danych i w oparciu o nie mogliśmy jednoznacznie określić, że wyciek pochodzi z serwisu Glitery.pl.

Sprzedający bazę początkowo oczekiwał za udostępnienie jej na wyłączność 38 BTC (według aktualnego kursu ok. 5300 PLN), kolejna propozycja opiewała na 30 BTC (4200 PLN), obecnie proponuje sprzedaż bazy w częściach po 250 tysięcy kont, oczekując 5 BTC (700 PLN) za jedną część.

Hasła otwartym tekstem

Niestety okazało się, że w bazie serwisu, oprócz tradycyjnych danych takich jak nazwa użytkownika, adres email czy hash md5 hasła (nie solony), zapisane są również… hasła użytkowników! Trudno nam zrozumieć tę karygodną praktykę, jednak niestety, jak pokazuje próbka udostępnionych danych, zaraz za hashem hasła znajduje się jego forma niezahashowana.


Fragment bazy danych

Fragment bazy danych

Dodatkowo wizyta w serwisie pokazuje, że ogranicza on długość hasła do 15 znaków (co już jest złym sygnałem), a poza tym oferuje przypomnienie utraconego hasła, wysyłając je otwartym tekstem na adres poczty elektronicznej użytkownika. Praktyka, którą od dawna piętnujemy na łamach naszego serwisu, niestety ciągle jest kultywowana przez wiele dużych firm.

Oto do czego prowadzi przechowywanie haseł otwartym tekstem

Na skutek katastrofalnej polityki serwisu, hasła ponad miliona nastolatek znalazły się w niepowołanych rękach. Biorąc pod uwagę fakt, że świadomość zasad bezpieczeństwa w tej grupie użytkowników może być niewielka, istnieje spore prawdopodobieństwo, że spora część ujawnionych haseł będzie również pasować do ich skrzynek pocztowych. Co można zrobić z taką wiedzą? Za przykład niech posłuży cytat, który zamieściliśmy w artykule, opisującym podobne wydarzenie o mniejszej skali.

W opisywanym przez nas przypadku serwisu e-mama.pl, analiza wykradzionych haseł pokazała, że co najmniej 20% użytkowników korzysta z identycznego hasła do skrzynki pocztowej oraz do konta na forum. Obawiamy się, że w tym wypadku wartość ta może być znacznie większa.

Co robić?

Przekazaliśmy informację o wycieku danych administratorom serwisu i mamy nadzieję, że poinformują oni wszystkich użytkowników i poproszą ich o zmianę haseł nie tylko w serwisie, ale także u dostawców poczty. Użytkownikom natomiast polecamy stosowanie co najmniej odrębnego hasła do skrzynki pocztowej i do pozostałych zastosowań. A jeśli znacie jakąś użytkowniczkę Gliterów, poproście o szybką zmianę haseł.