Doszło do wycieku haseł 9999 kont Gadu-Gadu, czy nie?
Wczoraj wieczorem na moment powiało grozą, bo ktoś opublikował listę 9999 numerów Gadu-Gadu waz z hasłami dostępu. Szybki rzut oka na listę pokazywał, że jest to lista, w której większość haseł jest taka sama: 123456. Serwis Niebezpiecznik.pl nazwał ten wyciek "atakiem słownikowym" tłumacząc, że ktoś wybrał sobie po prostu kilka słabych haseł i próbował przy ich pomocy logować się na każdy numer Gadu-Gadu. Zapytaliśmy o sprawę rzecznika prasowego GG Network S.A. Jarka Rybusa, który potwierdził, że lista jest jest prawdziwa.
Publikacja tych danych stylizowana jest na słynne wycieki przejętych danych przez Anonimowych. W nagłówku napisano, że jest to "wyciek haseł gg w związku z atakiem na serwery gadu gadu 24-01-2012 @ 18:00", podpisano jako Anonymous Polska, z przyjemnym dopiskiem "oczekujcie nas". Piotr Konieczny z Niebezpiecznik.pl raczej wątpi zarówno w atak na serwery, jak i to, że sprawa jest dziełem Anonimowych. - Kolejny raz potwierdza się teza, że niektóre z osób podpisujących się jako "Anonimowi" lubią sobie przywłaszczać czyjąś "pracę" - pisze Konieczny dodając, że te same dane zostały jeszcze w grudniu 2011 opublikowane przez Unn4m3d.
Zapytaliśmy o sprawę rzecznika prasowego GG Network S.A., Jarka Rybusa (tego samego co od filmu "Blogersi"). Oto oświadczenie GG przesłane Spider's Web:
W związku z pojawieniem się w internecie listy wybranych numerów GG wraz z hasłem, informujemy, że są to numery, do których jest to samo proste hasło "123456". Część z tych numerów to numery nieaktywne, a dodatkowo część podanych haseł nie jest zgodna z rzeczywistymi hasłami. Obecnie sprawdzamy okoliczności tego zdarzenia, w jaki sposób mogło dojść do takiego zestawienia i w jaki sposób zapobiec podobnej sytuacji w przyszłości. Jednocześnie niezwłocznie przystąpiliśmy do blokowania tych numerów oraz uruchomienia procedury odzyskiwania ich przez użytkowników. Monitorujemy sytuację. Co najważniejsze, reszta kont GG jest bezpieczna. Przypominamy także o zasadach tworzenia bezpiecznego hasła.
W całej sprawie dziwią mnie dwie rzeczy. Jedna jest oczywista i związana z bezgraniczną głupotą niektórych użytkowników internetu, którzy stosują hasła typu 123456. Jak można w tak bezmyślny sposób narażać się na przejęcia kont chociażby w serwisach społecznościowych, co w prostej linii może prowadzić nawet to przejęcia cyfrowej tożsamości. Tyle jest dziś protestów o nieposzanowanie prywatności przez dostawców platform społecznościowych, podczas gdy rzesze internautów sami wystawiają się na gigantyczne kłopoty stosując tak proste hasła jak to zacytowane powyżej.
Drugie co mnie dziwi, to format ataku. Jeśli rzeczywiście jest tak, że był to "atak słownikowy" jak pisze Niebezpiecznik.pl, to ile pracy należało wykonać, aby zdobyć dane 9999 kont GG. Nawet jeśli "hackerzy" przygotowali jakiś skrypt, który automatycznie sprawdzał możliwość zalogowania się na odpowiednie hasło, to i tak był to kawał żmudnej pracy. I po co, w jakim celu? Większej korzyści, poza zrobieniem kilku tysiącom osób małego psikusa raczej tym zabiegiem ta grupa hackerów nie odniosła. No, chyba że chodziło o zbudowanie sobie "nazwiska" (pseudonimu bardziej) w środowisku. Ale tu też - jeśli przyjąć informacje Niebezpiecznika - raczej zerżnięta to praca niż autorska.
Dziwne to wszystko.