Wyciekło 13 milionów czystych haseł z serwisu hostingowego 000webhost

dodał 29 października 2015 o 07:30 w kategorii Włamania, Wpadki  z tagami:
Wyciekło 13 milionów czystych haseł z serwisu hostingowego 000webhost

Po sieci krąży baza danych zawierająca ponad 13 milionów rekordów użytkowników popularnego darmowego serwisu hostingowego 000webhost. Niestety zawiera ona nie tylko adresy email, ale także hasła zapisane czystym tekstem.

Rzekomy efekt udanego ataku sprzed kilku miesięcy na infrastrukturę firmy trafił w ręce znanego badacza bezpieczeństwa Troya Hunta. Opisuje on na swoim blogu jak weryfikował dane z bazy oraz liczne nieudane próby kontaktu z właścicielami hostingu.

Wyciek? Jaki wyciek?

Troy prowadzi od dłuższego czasu pożyteczny serwis HaveIBeenPwned, w którym internauci mogą sprawdzić czy ich adres email (a wraz z nim prawdopodobnie hasło lub jego funkcja skrótu) pojawiły się w którymś z publicznych wycieków baz danych. W tej chwili jego baza liczy około 240 milionów rekordów (większość to wynik wycieku z Adobe, lecz znajdują się tam wszystkie istotne znane wycieki ostatnich lat). Prawdopodobnie w związku z prowadzoną działalnością otrzymał kilka dni temu kolejną porcję danych.

Anonimowy informator przekazał Troyowi bazę danych twierdząc, że pochodzi ona z systemów firmy hostingowej 000webhost. Baza zawierała prawie 13,5 miliona rekordów, a w nich identyfikator użytkownika, nazwę, adres IP, adres email oraz hasło zapisane czystym tekstem. Troy zaczął od weryfikacji wiarygodności bazy. Spróbował użyć kilku anonimowych adresów z niej pochodzących w celu założenia konta w serwisie – wszystkie okazały się zajęte. Zapytał osoby śledzące go na Twitterze czy ktoś był klientem tej firmy i potwierdził prawdziwość kilku rekordów z właścicielami zawartych tam danych. Przyjrzał się także samemu serwisowi WWW firmy i ustalił, że nie tylko formularz logowania serwowany jest po HTTP, formularz błędu przy logowaniu przesyłany jest w żądaniu GET z hasłem oraz loginem w adresie strony ale także strona znajduje się w rejestrze witryn przesyłających klientom ich hasła otwartym tekstem przy próbie ich odzyskania. Wszystko zatem wskazywało, ze do wycieku faktycznie doszło.

Sporą część wpisu Troya zajmuje opis epopei jego próby kontaktu z właścicielami hostingu. Brak adresów email, niedziałające formularze kontaktowe, system ticketingowy wymagający logowania, brak możliwości odpowiedzi na ticket… Troy starał się tak bardzo, że nawet trafił na firmę powiązaną z 000webhost kapitałowo (i zapewne osobowo) gdzie udało mu się przesłać informację z prośbą o kontakt, jednak jej obsługa uparcie żądała by przekazał szczegóły incydentu za pośrednictwem systemu ticketingowego. Nie działał również kontakt za pomocą Twittera czy Facebooka. Troy w końcu się złamał i przekazał informacje w sposób nie gwarantujący ich bezpieczeństwa tylko po to, by jednak trafiły do użytkowników.

W nagrodę nigdy nie otrzymał od firmy żadnej odpowiedzi. Jedyne, co zauważył, to to, że hasła wszystkich użytkowników zostały zmienione (bez żadnego wyjaśnienia) a dostęp przez FTP został wyłączony. W obliczu takiej sytuacji Troy postanowił opublikować informację o wycieku, by użytkownicy mieli szansę zmienić swoje hasła, jeśli korzystali z nich w innych serwisach, a szczególnie w skrzynkach pocztowych skojarzonych z kontami 000webhost.

Komunikat serwisu

Komunikat serwisu

Zmiana hasła jest tym ważniejsza, że według plotek baza serwisu jest obecnie oferowana na sprzedaż, zatem jest tylko kwestią czasu zanim najpierw zostanie wykorzystana do przejmowania innych kont, a zaraz potem zostanie udostępniona szerszej publiczności. Jeśli zatem mieliście konto w 000webhost (a sprawdzić to możecie w serwisie HaveIBennPwned), to zmieniajcie hasła zanim będzie za późno.

PS. Praktyka trzymania haseł otwartym tekstem jest dość popularna w systemach hostingowych. Spróbujcie odzyskać swoje hasło w firmie, w której macie konto hostingowe – jeśli się uda, dajcie nam znać.