No i znowu wykopany został trup z ogródka, a konkretnie to odkopana sprawa wycieku bazy użytkowników z wykop.pl. Chodzi mianowicie o "aferę" z zablokowaniem kont części użytkowników w Naszej Klasie, tych, którzy mieli (nie)szczęście być również użytkownikami wykop.pl.
Wykopgate.pl
Na początku proponuję jeszcze raz przyjrzeć się całej sprawie. Punkt "zero" to chwila, gdy (aresztowani już) "hakerzy" uzyskują dostęp do kopii bazy serwisu, która zawiera również dane użytkowników serwisu wraz z ich hasłami (hashami sha1). Kolejny istotny moment, to chwila, w której administratorzy serwisu dowiadują się o włamaniu. Trzeci istotny moment, to chwila, gdy o włamaniu i ujawnieniu danych dowiadują się użytkownicy serwisu.
Według oficjalnych informacji Policji pierwsze dwa zdarzenia były odległe od siebie o kilka godzin i miały miejsce 20 sierpnia. Oficjalna informacja o incydencie podana został dopiero 5 września. Można się domyślać, że informacja ta nie zostałaby podana, gdyby wcześniej nie pojawiły się pogłoski na ten temat:
Z uwagi na prowadzone dochodzenie, które wykracza poza granice kraju, otrzymaliśmy zakaz publikacji informacji o włamaniu do momentu złapania poszukiwanych osób. Dlatego nie mogliśmy Was o tym wcześniej poinformować.
Użytkownicy serwisu przez ponad dwa tygodnie od incydentu żyli w błogiej nieświadomości, że ich dane uwierzytelniające zostały ujawnione. Tak nie powinno być. Opóźnienie w poinformowaniu użytkowników o incydencie naraziło użytkowników na... No właśnie na co?
Ujawnione zostały dane uwierzytelniające użytkowników. Fakt, że hasła były przechowywane w postaci hashy SHA1 nie zmienia sytuacji w sposób istotny. Zwykły brute force na moim laptopie bez pozwala na sprawdzenie ponad 1,5 miliona haseł na sekundę(!). To, że ktoś stosuje hasła o długości 14 znaków, które zawierają duże i małe litery, cyfry i znaki specjalne też nie zmienia sytuacji. Owszem, jego hasło może i nie zostanie złamane (chyba, że atakujący będzie dysponował naprawdę dobrymi tablicami), ale atakującym wcale nie musi zależeć na złamaniu haseł wszystkich użytkowników. Jeśli ktoś stosuje takie hasła, to z dużym prawdopodobieństwem nie stosuje tych samych haseł w różnych serwisach, więc skupianie się na takich przypadkach jest (dla atakującego) bezcelowe. W przypadku pozostałych użytkowników (większości?) ustalenie haseł jest tylko kwestią czasu.
Co może zrobić intruz mając hasło użytkownika? To zależy gdzie użytkownik jeszcze takie hasło wykorzystał... Dość ciekawym kierunkiem może być sprawdzenie kont pocztowych ofiar. W poczcie można znaleźć wiele ciekawych informacji, a i do "odzyskania" hasła użytkownika w innych serwisach przydać się może.
Z oficjalnej informacji administratorów serwisu wynika, że to Policja zabroniła ujawniania informacji o incydencie. Muszę przyznać, że to dość ciekawa i jednocześnie niepokojąca informacja. Bardzo chciałbym wiedzieć w jaki sposób ujawnienie informacji o incydencie miałoby wpłynąć negatywnie na prowadzone śledztwo. No dobrze, mogę sobie wyobrazić następujący tok rozumowania: ONI szantażują administratorów, więc jeśli administratorzy ujawnią informację o incydencie, to ONI mogą już nie widzieć sensu w szantażu, przestaną się kontaktować i trop się urwie (...). Tylko, że jednocześnie użytkownicy serwisu, których dane zostały ujawnione, zostali narażeni na inne niebezpieczeństwa. Szczerze mówiąc sytuacja ta niezbyt mi się podoba, choć mnie nie dotyczy, bo użytkownikiem serwisu nigdy nie byłem. Przy okazji warto wspomnieć jeden temat: Security breach notification laws.
Tematu afery nie śledziłem, zresztą bezpośrednio po jej wybuchu udało mi się spędzić całkiem przyjemny tydzień w Tatrach. Myślałem, że po sukcesie Policji, sprawa wreszcie się zakończy... Okazuje się, że jednak nie, dziś wybuchła kolejna afera związana z Naszą Klasą (co jest dla ciebie dobre, Nasza Klasa zresetowała mi hasło ...bo Wykop jej kazał!). Większość komentarzy związanych z akcją jest negatywna, ale zwrócę uwagę na kilka kwestii, które się w komentarzach nie pojawiły. Zaznaczam, że nie znaczy to wcale, że uważam iż cała sytuacja jest przykładem prawidłowego postępowania. Po prostu bawię się trochę w adwokata diabła.
Po pierwsze dysponujemy niepełną wiedzą o całej sytuacji. Być może (nie twierdzę, że tak jest) NK wie coś, o czym my nie wiemy. Może pojawiły się przesłanki wskazujące na to, że konta w NK są przejmowane z wykorzystaniem danych pochodzących z wykradzionej wcześniej bazy. Być może to NK była inicjatorem akcji "wymiany" danych. Teoretycznie NK mogłaby w sposób wiarygodny umotywować potrzebę posiadania tych danych (no właśnie, CZYM konkretnie serwisy się wymieniły/co zostało udostępnione).
W zasadzie jestem zwolennikiem poglądu, że za głupotę trzeba płacić, jestem jednak w stanie znaleźć kilka przesłanek, które mogą tłumaczyć zachowanie NK. Tomek we wpisie Nasza-klasa i tożsamość zwrócił uwagę na ilość informacji gromadzonych w NK. Właściwie dla wielu osób NK to ich tożsamość w Sieci. Co by się stało, gdyby taka tożsamość została przejęta? Gdyby profil nobliwego pana X został przejęty przez kogoś niezbyt życzliwie do niego nastawionego? Zresztą były już przypadki, gdy zakładany był fałszywy profil w NK po to, by czyjąś reputację/wizerunek "uszkodzić". Z tego co pamiętam kilka spraw skończyło się w sądzie, ofiary skarżyły NK o "zbyt wolne" usuwanie fałszywych profili. Cóż, przejęcie rzeczywistego profilu byłoby sprawą jeszcze większego kalibru. Może jacyś prawnicy dostrzegli tu ryzyko prawne i postanowili mu przeciwdziałać poprzez wykazanie należytej staranności?
Po drugie nie bardzo jestem w stanie na stronie NK znaleźć informację o tej akcji. Jeśli otrzymałbym takiego maila, chciałbym zweryfikować jego autentyczność. Jakaś informacja na głównej stronie NK byłaby na miejscu...
Po trzecie, to czy warunkiem wystarczającym do zablokowania konta w NK było posiadanie konta w Wykop.pl? Czy musiał zachodzić warunek dodatkowy - takie same hasła? Jeśli to drugie, to można wysnuwać pewne przypuszczenia co do sposobu przechowywania haseł w NK. Prawdopodobnie jednak warunkiem wystarczającym było posiadanie konta w Wykop.pl, bo w swoim wpisie Piotrek twierdzi, że loginy i hasła w serwisach miał różne. A to wskazywałoby, że kluczem wiążącym dane (ciekawe, czy jedynym) był adres e-mail (może warto zaprzyjaźnić się z TrashMail).
Po czwarte ciekawy jestem ile dodatkowych informacji o swoich użytkownikach rzeczywiście (potencjalnie) zdobyła NK w operacji wymiany danych z wykopem. Jak pisałem - nie mam konta na wykopie, nie wiem więc czy istnieje możliwość uzyskania/poznania adresu e-mail innego użytkownika. Jeśli tak - powiązanie kont między serwisami i bez tej wymiany było możliwe. Poza tym nie jestem przekonany, czy użytkownicy nie obnażają swojego "prawdziwego ja" bardziej na NK właśnie.
A na koniec jeszcze jeden komentarz do jednego z wcześniej wskazywanych wpisów:
(...) to dobro użytkowników jest oczywiście brane pod uwagę tylko wtedy, gdy jest zgodne z dobrem firmy. kiedy n-k (...)
Szczerze mówiąc zupełnie nie rozumiem oczekiwania, że ktoś będzie bezinteresownie robił coś dla cudzego dobra...
Tak naprawde NK za wiele nie skorzysta z powiazania kont uzytkownika w swoim portalu z uzytkownikiem wykopowym (chociaz? Moze po tym co kto kopal mozna wiele madrych rzeczy wywnioskowac?). Ciekawszy bylby przypadek, gdyby to nie wykop a last.fm zainicjowal wymiane danych z NK. Wtedy NK, majac profil muzyczny uzytkownika, moglaby zaczac go nekac "Doda chce Cie dodac do znajomych", "Kup prezent dla Ich Troje", etc...
To troche jak z tym, co mozna wyczytac z takiego clamid.com / flakera dla danego uzytkownika w momencie kiedy wchodzi na ...powiedzmy Allegro. Widzimy ulubione na YT, profil na last.fm, i kilka innych informacji. Korzystajac z nich, czlowiek taki dostaje spersonalizowana strone Allegro, gdzie wystepuja tylko produkty/plyty CD z gatunku ktory lubi. Nie zacytuje, bo to z jakiejs konferencji, ale ponoc przeprowazono badania oparte na tego typu wymianie danych (via cookies) -- podniosly sprzedaz o 80% (sic!). Jest sie o co bic...
http://www.w2k.pl/nieanonimowosc-w-sieci/
[email protected] = [email protected]
login+foobar2#gmail.com = [email protected]
[email protected] = [email protected]
[email protected] = [email protected]
wiec albo idziemy w etykiety, albo kodujemy wlasny algorytm kropkowy w loginie :>
To miło, że wykop i nk współpracują, ale moje dane udzieliłem wykopowi i naszej klasie osobno. Nie dość ze moje dane maja nastolatki, rosyjscy haksiorzy, pewnie wielu zainteresowanych (chociaz policja utrzymuje ze odzyskała wszystkie kopie bazy danych ), to teraz ma je też nasza klasa (niby miała je wcześniej, ale teraz mi to przypomina tracking cookies, których tak się niektórzy boją, wiążąc te dane też mogą nas w pewnym sensie śledzić). To się stało jawnie, wszyscy wiemy, że nk i wykop to zrobili w ramach współpracy i pomocy użytkownikom, ale jeśli to jest możliwe, to czy coś takiego może się stać bez naszej wiedzy? Myślę, że moglibyśmy się zdziwić, szczególnie, że istnieje jeszcze szpiegostwo, szpiegostwo przemysłowe itp.
Niemieccy agenci zdobili liste niemieckich klientow szwajcarskich banków (albo jednego banku). Co oni mogą robić na codzień, za naszymi plecami? Może gdzieś w NS istnieje baza danych zawierająca wszystkie informacje o nas jakie udało się kiedykolwiek zebrac ;P
Poczytaj o matce Teresie z Kalkuty
Poza tym nawet jeśli przyjąć wersje oficjalną, to mam poważne wątpliwości, czy jest to bezinteresowne (hint: religia).