Użytkownicy serwisu erotycznego szantażowani przez hakera! To może być polski odpowiednik afery Ashley Madison
To może być najgroźniejszy wyciek danych w historii polskiego Internetu i lokalny odpowiednik afery AshleyMadison.com. Cyberprzestępca znalazł dziurę w kodzie serwisu Zbiornik.com, za pomocą której pozyskał prywatne dane dotyczące jego użytkowników. Po nieudanej próbie uzyskania od serwisu nagrody w wysokości miliona złotych, zaczął szantażować samych użytkowników. Administracja Zbiornik.com wystawiła nagrodę za ujawnienie jego danych.
Godna pochwały jest transparentność działań administratorów serwisu. Zdecydowali się oni na opublikowanie oświadczenia, w którym opisali całą sprawę. Przyznali, że pod koniec marca cyberprzestępca poinformował ich o znalezieniu dziury, która umożliwiła przejęcie poufnych danych z serwerów Zbiornik.com. Przestępca zdradził, że został wysłany przez konkurencję, ale nie chce robić krzywdy serwisowi ani jego użytkownikom. Dlatego zaproponował ugodę przewidującą wymianę informacji na temat luki i skasowanie poufnych danych za milion złotych, płatne w bitcoinach.
Analiza logów wykazała, że część bazy danych rzeczywiście została skopiowana.
Szybko udało się ustalić, że nie doszło do złamania zabezpieczeń serwerowych, a błąd tkwił w skrypcie serwisu. Mimo to administratorzy zdecydowali się dodatkowo zabezpieczyć serwery oraz załatać potencjalne luki. Prace nad tym zajęły dwa dni. Po tym czasie administratorzy odpisali, że są w stanie zapłacić, jeśli przestępca ujawni aktualne dane dostępowe do bazy danych. W ten sposób chcieli upewnić się, że wspomniana luka nadal istnieje. Cyberprzestępca odesłał adres bitcoin, na który miały być wpłacone środki i odmówił podania wyżej wymienionych informacji. To upewniło administratorów, że ich działania okazały się skuteczne.
Administratorzy serwisu dodatkowo zdecydowali się na wprowadzenie dodatkowych wymogów dotyczących haseł i zmusili wszystkich użytkowników do ich zmiany. Nowe hasła są już w pełni zabezpieczone przez hasz bcrypt z losową solą. Administratorzy przyznają, że zdawali sobie sprawę z niskiej jakości kodu Zbiornik.com, dlatego od kilku miesięcy tworzona jest zupełnie nowa odsłona serwisu, która przestrzega najbardziej wyśrubowane normy dotyczące bezpieczeństwa. Prowadzony jest też audyt przez zewnętrzną firmę, a Zbiornik.com niebawem zacznie płacić za znajdowanie luk w oprogramowaniu.To są jednak techniczne niuanse, które mogą zainteresować niewiele osób.
Co mają zrobić użytkownicy Zbiornik.com?
Dobre wskazówki na ten temat podał Niebezpiecznik. Ważne jest, by osoby, które używały jednego hasła do logowania się do wielu serwisów, w tym Zbiornik.com, zmieniły je na nowe. Dodatkowo osoby, których hasła wyciekły, mogą spodziewać się wiadomości od przestępcy. Szantażuje on użytkowników serwisu i prosi o wpłatę 500 zł w ciągu 24 godzin. W przeciwnym przypadku dane udostępniane w serwisie lub w wiadomościach prywatnych mają trafić do rodziny, wszystkich bliskich oraz znajomych. Instrukcja wpłaty jest dostępna na serwisie zbiornik.pw.
Administracja Zbiornik.com przygotowała już pełny raport, który ma pomóc w ustaleniu tożsamości złodzieja. Serwis oferuje też 10 000 zł nagrody za udostępnienie jego danych. Bardzo możliwe jest jednak, że zanim policja znajdzie przestępce, zdąży on upublicznić uzyskane przez siebie informacje. Może też okazać się, że tak naprawdę przestępca tylko blefuje i tak naprawdę nie ma żadnych kompromitujących informacji na temat użytkowników serwisu. Nie ma tu jasnej zasady działania i każdy musi sam zdecydować, czy podda się żądaniom szantażysty.
*Grafika na stronie głównej: fot. Kalvin Chan, CC BY 2.0