Bezpieczeństwo danych na forum - WAŻNE!

Sprawy związane z naszym środowiskiem.

Moderatorzy: fabek, zibi2210, SuperBuster11

Awatar użytkownika
zmichal
Administrator
Posty: 140
Rejestracja: 14 lut 2008, o 17:59
Lokalizacja: lubelskie

Bezpieczeństwo danych na forum - WAŻNE!

Post autor: zmichal »

Drodzy użytkownicy,
W 2012 roku nieuprawniana osoba, prawdopodobnie wykorzystując lukę w zabezpieczeniach oprogramowania używanego ówcześnie przez forum, uzyskała dostęp do bazy danych strony w210.pl. Do niedawna nie mieliśmy o tej sytuacji pojęcia.

Cała sprawa wyszła na jaw całkiem niedawno. Na początku listopada portal Sekurak (https://sekurak.pl/wycieklo-prawie-24-0 ... -wyciekow/) opublikował informację o wycieku informacji z prawie 24 000 stron internetowych, z których wyciekło około 13 miliardów rekordów. Na liście zaatakowanych stron znajdowało się nasze forum - w210.pl. Informacja o tym, że w210.pl znajduje się na liście stron, z których dane wyciekły, dotarła do nas na początku grudnia.

Po otrzymaniu informacji na temat wycieku przeprowadziliśmy analizę, która pozwoliła nam określić moment włamania.
Włamanie miało miejsce w połowie stycznia 2012 roku. Skradziona została baza danych, a do sieci trafiła jej część - adresy email użytkowników wraz z odszyfrowanymi hasłami. Hasła przechowywane w naszej bazie są co prawda szyfrowane, ale zostały złamane prawdopodobnie przy pomocy tak zwanych „tęczowych tablic” (https://pl.wikipedia.org/wiki/Tęczowe_tablice) oraz ogólnodostępnych baz danych haseł z innych wycieków.
Sprawa dotyczy więc osób, które zarejestrowały się na forum przed lutym 2012 roku, miały dość łatwe hasła (np. część adresu email, login, imię, proste zbitki słów czyli hasła tzw. słownikowe itp.) lub takie, które już wcześniej wyciekły podczas innych włamań. Adresy e-mail oraz zaszyfrowane hasła pozostałych użytkowników nie zostały ujawnione, chociaż należy mieć na uwadze, że włamywacz ciągle może je gdzieś przechowywać.

W jaki sposób wyciekła baza danych?
Po 8 latach nie jesteśmy w stanie tego dokładnie stwierdzić. Nie mamy dostępu do logów z tamtego okresu, a samo forum przez ten czas przeszło modernizację. Analizując inne strony znajdujące się na liście możemy jednak podejrzewać, że wykorzystana została luka w zabezpieczeniach skryptu forum, który był w tamtym okresie zainstalowany na w210.pl. Obecnie forum aktualizowane jest regularnie, w momencie pisania tego wpisu posiada zainstalowaną najnowszą wersję oprogramowania, dlatego szansę na powtórne włamanie przy pomocy luki w oprogramowaniu zostało zmniejszone do minimum.

Jakie podjęliśmy kroki?
Dla zwiększenia Waszego bezpieczeństwa wymusiliśmy zmianę haseł oraz ustawiliśmy oprogramowanie tak, aby wymuszało raz na pół roku zmianę Waszego hasła. Zwiększyliśmy też wymagania dotyczące jego złożoności. Wprowadziliśmy szyfrowanie SSL. Wiemy, że nie jest to najwygodniejsze rozwiązanie, ale wszystko to robimy dla bezpieczeństwa Waszych danych.

Co zalecamy?
Jeżeli Twoje konto na forum w210.pl zostało założone przed lutym 2012, a w innych serwisach internetowych wykorzystałeś/aś to samo hasło - zmień je koniecznie we wszystkich tych serwisach. Oprócz tego uważaj na SPAM, który może zacząć przychodzić na Twój adres e-mail wykorzystany na naszym forum. Nie klikaj w podejrzane linki oraz nie otwieraj podejrzanych załączników. Dla każdej usługi (a szczególnie dla tych najważniejszych takich jak: poczta elektroniczna, usługi bankowe, usługi inwestycyjne, portale aukcyjne itp.) używaj innych haseł, które będą jak najbardziej złożone. Pomóc w ich tworzeniu może generator haseł (https://generator.blulink.pl), a w ich przechowywaniu menadżer haseł (https://zaufanatrzeciastrona.pl/post/po ... go-uzywac/).

Na koniec chcielibyśmy Was przeprosić. Przykro nam, że do tego doszło. Wyciek miał miejsce wiele lat temu, informujemy o nim dopiero dzisiaj bo nie mieliśmy o nim pojęcia. Obiecujemy, że dołożymy wszelkich starań, aby taka sytuacja nie miała miejsca ponownie. Mamy również nadzieję, że ten wyciek nie przyprawi nikomu z naszych użytkowników problemów. Prosimy Was o zastosowanie się do naszych zaleceń.
Awatar użytkownika
Muniek
Posty: 2731
Rejestracja: 15 paź 2012, o 09:36
Lokalizacja: Bydgoszcz/Poznań
Kontakt:

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Muniek »

Tak coś czułem ;) Do UODO trzeba takie rzeczy zgłaszać?
Mercedes-Benz E-klasa W210 E320 3.2 V6 224KM 4Matic Elegance 2001
VIN: WDB2100821X053822
Ex: W210 E270 CDI 170KM 2001
Awatar użytkownika
zmichal
Administrator
Posty: 140
Rejestracja: 14 lut 2008, o 17:59
Lokalizacja: lubelskie

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: zmichal »

Dzisiaj tak, ale to sprawa sprzed ponad 8 lat, kiedy nie było jeszcze np. RODO.
Awatar użytkownika
SuperBuster11
Moderator
Posty: 931
Rejestracja: 21 maja 2015, o 17:59
Lokalizacja: Brzeg

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: SuperBuster11 »

A mi co jakiś czas ktoś próbował się zalogować na moim koncie Steam. Jedno konto nawet udało mu się przejąć, akurat to na który miałem wykupione mnóstwo gier. Na szczęście udało się konto odzyskać. Drugie konto, które było właściwie puste i nieużywane wczoraj usunąłem. Co kilka godzin dostawałem powiadomienie o podanie kodu, bo ktoś chce się tam zalogować.
Naprawa i regulacja układów KE-Jet

VIN: WDB2100201A265083 - sprzedany
VIN: WDB2112261A525765 - sprzedany
VIN: WDB2100531A274983
Awatar użytkownika
Piasek
Posty: 5658
Rejestracja: 3 cze 2013, o 13:38
Lokalizacja: CRA

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Piasek »

Generalnie miałem z 7 adresów mailowych. Głównie po to aby przy rejestracjach na różnych stronach podawać te a nie główne. Przez te wszystkie lata chyba dwa już zostały. Do pozostałych nie mam dostępu właśnie przez przejęcia. Generalnie pierwsze poszły wszystkie z interii także... dużo to mówi o ich zabezpieczeniach
Awatar użytkownika
rr6
Doradca
Posty: 2213
Rejestracja: 24 wrz 2016, o 21:45
Lokalizacja: Warszawa

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: rr6 »

Piasek pisze: 23 sty 2021, o 18:28 Generalnie miałem z 7 adresów mailowych. Głównie po to aby przy rejestracjach na różnych stronach podawać te a nie główne. Przez te wszystkie lata chyba dwa już zostały. Do pozostałych nie mam dostępu właśnie przez przejęcia. Generalnie pierwsze poszły wszystkie z interii także... dużo to mówi o ich zabezpieczeniach
Nie mam konta na interii ale mam na onecie od - uwaga - końca lat dziewięćdziesiątych ubiegłego wieku (jak to brzmi ;))
Najważniejsze to jest niebanalne hasło i inne do każdej z usług. Nigdy nie użyłem tego samego hasła do dwóch usług. Oczywiście jest to kłopotliwe ale dzięki temu jak jakiś sklep wypuści bazę to jestem w miarę bezpieczny, bo poza samym adresem nic nie mają.

Do tego co opisujesz są serwisu z kontami tymczasowymi, słyszałem, że to się sprawdza choć sam nie używałem.
Awatar użytkownika
Piasek
Posty: 5658
Rejestracja: 3 cze 2013, o 13:38
Lokalizacja: CRA

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Piasek »

Już wracamy do lat `90tych
https://ogarniamsie.pl/produkt/lista-ha ... format-a5/
jeszcze z parę akcji typu C19 i Rodo2 i będziemy mogli ogłosić Rok Pierwszy
Awatar użytkownika
Muniek
Posty: 2731
Rejestracja: 15 paź 2012, o 09:36
Lokalizacja: Bydgoszcz/Poznań
Kontakt:

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Muniek »

Mam bzika na tym punkcie takze...

Mail? Jedno konto mailowe na wlasnym serwerze; wlasnej domenie. Nikt poza Wami nie ma tam dostepu. Alias posredni kierujacy na ta skrzynke. Kazda rejestracja w kolejnym miejscu to kolejny alias mailowy, ktory kieruje na alias posredni. Wycieka alias? Usuwasz i wiesz skad wyciekly dany. Wycieka skrzyna nadawcza? Tworzysz druga i na nia kierujesz alias posredni.

Hasla? Jak ktos ma sprzet Apple to moze trzymac w Keychain a jesli nie to polecam KeePass. Mamy jedno haslo do takiej bazy danych z haslami, ktore sa losowo generowane i nie mozna ich złamać standardowymi metodami. Sa wtyczki do przegladarek internetowych, ktore same wypelniaja hasla. Tym sposobem zaszyfrowana baze trzymacie u siebie na komputerze a nie w jakiejs chmurze Google Chrome.

Pliki? Jesli boimy sie wirusow, ktore zaszyfruja dysk to najlepiej wszystkie pliki trzymac w chmurze. Chmurze, ktora jest platna a nie zarabia na naszych danych. Znowu - jesli ktos ma Apple to polecam iCloud (3,99zl/msc) a jesli nie to Dropbox. Tym sposobem zawsze mozemy odzyskac plik i kazda jego wersje do 30 dni wstecz.
Mercedes-Benz E-klasa W210 E320 3.2 V6 224KM 4Matic Elegance 2001
VIN: WDB2100821X053822
Ex: W210 E270 CDI 170KM 2001
Awatar użytkownika
Piasek
Posty: 5658
Rejestracja: 3 cze 2013, o 13:38
Lokalizacja: CRA

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Piasek »

O kurcze - faktycznie masz ;)
U mnie generalnie problem jest z tym że ja w zasadzie na swoje konta też sam się dostać nie mogę <rotfl>
Z poziomu przeglądarek oczywiście. Konta zakładane lata temu, hasła zapomniane bo po drodze też jakieś akcje wymuszające zmiany haseł, hasła zapisane w programie pocztowym i tak sobie od lat migrują na kolejne kompy/platformy/systemy.
Muszę jakiś program ściągnąć który by mi odszyfrował te hasła żeby je sobie faktycznie zapisać i pozmieniać na jakieś skomplikowane.
Tylko znowu jak czyta człowiek o tych programach - połowa to trojany wypuszczane przez ludzi którzy tylko na to czekają abyś skorzystał z któregoś.
Awatar użytkownika
rr6
Doradca
Posty: 2213
Rejestracja: 24 wrz 2016, o 21:45
Lokalizacja: Warszawa

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: rr6 »

Piasek pisze: 24 sty 2021, o 07:04
Muszę jakiś program ściągnąć który by mi odszyfrował te hasła żeby je sobie faktycznie zapisać i pozmieniać na jakieś skomplikowane.
Jak używasz thunderbird'a to wystarczy wejść w ustawienia - można sprawdzić wszystkie składowane hasła tak jak np. w Firefox.
Awatar użytkownika
Piasek
Posty: 5658
Rejestracja: 3 cze 2013, o 13:38
Lokalizacja: CRA

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: Piasek »

Outlooka
Awatar użytkownika
rr6
Doradca
Posty: 2213
Rejestracja: 24 wrz 2016, o 21:45
Lokalizacja: Warszawa

Re: Bezpieczeństwo danych na forum - WAŻNE!

Post autor: rr6 »

Piasek pisze: 25 sty 2021, o 20:59Outlooka
Mam gdzieś zapisaną aplikację która wyciąga hasła z outlook'a, klucze z windy itp. Poszukam jutro to Ci podeśle nazwę. Oczywiście lepiej to zrobić na kompie odłączonym od sieci, diabli wiedzą czy ona czegoś nie wysyła.
ODPOWIEDZ

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 5 gości