niedziela, 18 listopada 2012

Wyciek danych z portali LGBTQ

Masz konto na Kobiety Kobietom, Innej Stronie, Gay.pl? Zmień hasło. Nie tylko na tej stronie, ale też na wszystkich innych, na których używasz tego samego adresu e-mail i hasła. Powód? Twoje dane (login, hasło, e-mail, czasami też inne, jak data urodzenia czy adres IP) są w sieci. O sprawie poinformowały blogi zajmujące się bezpieczeństwem w internecie, między innymi Niebezpiecznik.pl i Zaufanatrzeciastrona.pl. Szczegóły tu, tu i tu.

Skąd ten atak na nasza portale? Jego autorzy pochwalili się swoimi "motywami" w mailu opublikowanym na stronie jednej z grup hakerskich:
W związku z odkryciem treści pedofilskich przez jednego z naszych użytkowników na forum o pedalskiej tematyce, postanowiliśmy kontynuować krucjatę przeciwko dewiantom aby oczyścić internet z tego plugastwa. Przykro nam, że administracja nie zdążyła się zabezpieczyć.
Trudno to skomentować, nie używając słów powszechnie uznawanych za wulgarne, tak że odpuszczę sobie. Mam nadzieję, że nie odpuszczą za to administratorzy i administratorki zaatakowanych portali i zgłoszą sprawę na policję. Oraz, tam, gdzie to konieczne, lepiej zadbają o bezpieczeństwo swoich użytkowników i użytkowniczek - i dotyczy to wszystkich "naszych" stron, bo mogą być kolejne ataki. W dotychczasowych przypadkach dane były słabo zabezpieczone - przestępcy bez problemu uzyskali dostęp do sporej części haseł do kont (również administracji!), które albo w ogóle nie były zaszyfrowane, albo zrobiono to w niewystarczający sposób. IS zapewnia, że poradziła sobie z problemem i że wyciek nastąpił trzy lata temu, więc dotyczył jedynie kont założonych przed lipcem 2009 roku. Na Gay.pl i na Kobiety Kobietom niestety nie znalazłam oficjalnego komunikatu na ten temat (na pierwszym z tych portali nigdy wcześniej nie byłam, więc możliwe, że jakiś komunikat był, ale nie potrafiłam go znaleźć).

Nic oczywiście nie usprawiedliwia ludzi, którzy wykradli i opublikowali w sieci dane wrażliwe (do takich należy informacja o czyjejś orientacji seksualnej), ale fakt faktem, że poziom zabezpieczeń wielu naszych stron jest po prostu tragiczny. Nawet taka laiczka jak ja wie, że żaden szanujący się portal nie przechowuje niezaszyfrowanych haseł, ba, powinno być tak, że jedyną osobą, która zna hasło do danego konta, jest jego posiadacz lub posiadaczka. Jasne, że większość portali dla osób nieheteronormatywnych ma charakter niekomercyjny lub co najwyżej półkomercyjny i jest tworzona przez pasjonatki i pasjonatów. Tyle że są one skierowane do osób, które zwykle mają więcej powodów, by dbać o swoją anonimowość, niż przeciętny użytkownik czy użytkowniczka internetu, więc bezpieczeństwo powinno być priorytetem dla ich twórców i twórczyń.

A póki tak nie jest, wyjście jest jedno: jeśli nie wiemy, czy dana strona jest bezpieczna, i nie marzymy o sieciowym coming oucie, a koniecznie chcemy mieć na niej swój profil, nie posługujmy się tam hasłem, którego używamy gdziekolwiek indziej, oraz e-mailem zawierającym imię i nazwisko czy takim, po którym można nas znaleźć w popularnych serwisach społecznościowych. Wówczas, nawet jeśli nasze dane wyciekną do sieci, nie spotka nas większa przykrość niż ewentualne włamanie na nienależycie zabezpieczone konto.

Aktualizacja 1 (niedziela, godz. 22): Właśnie dostałam informację od adminki Kobiety Kobietom, że wiedzą o włamaniu i pracują nad poprawą bezpieczeństwa portalu.

Aktualizacja 2 (poniedziałek): Na stronie głównej KK ukazała się informacja o ataku. Gay.pl zawiadomiło użytkowników wewnętrzną pocztą portalową.

20 komentarze :

Dobrze, że ktoś sensownie napisał, o co chodzi. Może do ludzi dotrze. Bo kiedyś musi.
Najlepiej tak czy inaczej zmienić wszystkie swoje hasła, jeśli gdziekolwiek korzystacie z takiego samego hasła jak do poczty. Przyjmijcie założenie, że ktoś już się wszędzie włamał i wszystkie bazy sa w rękach złośliwców, którzy będą próbowali włamać się do Waszych skrzynek. Nie ułatwiajcie im tego zadania.
A jak zarządzać 30 hasłami? KeePass, LastPass, jest sporo narzędzi do tego służących. Wygodnych, praktycznych, bezpiecznych. Polecam.

Ja mam konto na gay.pl… O przecieku dowiedziałem się dzisiaj, właśnie poprzez Garnitur na fejsie. Na portalu nie ma o tym ani słowa. Przed chwilą sprawdziłem forum – jest jeden temat z jedną odpowiedzią. A reakcji adminów ani widu ani słychu…

@Adam
Dzięki, że o tym poinformowaliście i dzięki za wszystkie rady.

@ViolentMuffin
No to słabo. Bardzo słabo. Cieszę się w takim razie, że ruszyłam temat.

@Ewa
Wieczna Ci cześć i chwała za to! Napisałem posta w tym temacie, jak nie będzie reakcji, to uderzę na priva do któregoś z przedstawicieli tamtejszej władzy…

Idę o zakład, że żadnych pedofilskich treści tak naprawdę nie było, ale żeby sobie pognębić pedałów to nigdy nie trzeba większego pretekstu.

Na szczęście już dawno pokasowałam konta na KK i IS ;)

@Drevni, konto mogłaś sobie skasować, ale twoje dane z IS są tam dalej obecne, ja na przykład znalazłem swoje stare adresy, kasła i komentarze w rzeczonej, upublicznionej bazie.

Macie jakies namiary na te baze?
W podanych linkach wyswietla sie tylko ocenzurowany obrazek.
Chciałabym sprawdzić, czy gdzies sa moje dane.

Pozdrawiam,
ak

@ak
Namiary tylko na priv. Nie chcę dodawać kolejnych w sieci linków, za pomocą których można na nie trafić.

Na gay.pl rozesłali dzisiaj wiadomości z informacją na temat wypłynięcia bazy i prośbą zmiany hasła.

Brawo za refleks:/
Ok, aktualizuję wpis.

Ale nawet nie mailowo tylko w wiadomości, więc jakbym się nie zalogował na portal albo nie wiedział o wycieku z innych źródeł, to żyłbym sobie nadal w błogiej nieświadomości.

Dokładniej to takie coś przyszło:
"Drodzy użytkownicy.
W sieci pojawiła się baza danych użytkowników portalu gay.pl. A także dwóch innych portali lgbt - innastrona.pl i kobiety-kobietom.com. Z tego co wiemy to włamanie do naszej bazy danych miało miejsce 4 miesiące temu, I do tej pory zostało przejęte jedynie kilka kont w naszym portalu (m.in. konto adminów: przemokrak i Daniel;-) Ponieważ jednak wciąż istnieje możliwość przejęcia innych kont a także włamań na konta w innych serwisach (czy poczcie) - jeśli używacie tam takich samych haseł jak na gay.pl - prosimy o jak najszybszą zmianę haseł. Hasło do konta na www.gay.pl można zmienić na stronie: link gay.pl/konto_detale.php (lewa kolumna - "Zmiana hasła").
W razie problemów proszę o informację.
pozdrawiam
Sławek Starosta"

Ech. Ja rozumiem, że nie ma co rozdzierać szat i dawać gimbom satysfakcji, że tacy z nich zajefajni hakierzy, ale z chwilą, gdy portal się dowie o wycieku, priorytetem powinno być jak najskuteczniejsze powiadomienie użytkowników. A tak na marginesie, skoro włamanie miało miejsce 4 miesiące temu, to rację ma Adam z pierwszego komentarza, że trzeba postąpić tak, jakby dane z wszystkich naszych portali już były w sieci.

albo zamiast z pianą na ....ustach( mało brakowało a posłużyłabym się retoryką jednej ikony feminizmu) żyłować się o Konopnicką, zadbać profesjonalnie o bezpieczeństwo stron i danych

Dowiedziałem się o tym z jednej grupy na kumpello. Od razu zmieniłem hasło. Przy okazji, kumpello ma dość słabe zabezpieczenia. Na Innejstronie oglądać zdjęcia użytkowników można tylko po wrzuceniu własnego. Na kumpello też by się to przydało.

Pewnie gdyby chodziło o strony inne niż portale LGBT to o sprawie byłoby głośno od samego początku. Jak widać 'okradać' z prywatności można nas z gruntu...W głowie się nie mieści.

Akurat to, że o sprawie nie jest głośno, to dobra wiadomość. Ważne, by dowiedziały się wszystkie zainteresowane osoby i jak najmniej tych, które mogłyby chcieć wykorzystać te dane.

Ewa, akurat dziś był w GW artykuł o wyciekach, str. 1 i 24.

Wiem. Nie odnotowałam z tej okazji specjalnego przyrostu odwiedzin na blogu na hasła z nimi związane, tak że szczęśliwie chyba nie wzbudził specjalnego zainteresowania.

Prześlij komentarz