Wyciek loginów i haseł (głównie) polskich użytkowników

[Tweedlex]

Tak jak to opisał portal Z3S.pl, na forum w sieci Tor pojawił się wczoraj wyciek loginów i haseł. Dlatego mam do wszystkich użytkowników forum w tym głównie firm hostingowych ogromną prośbę. Czy moglibyście zresetować swoim użytkownikom hasła albo przynajmniej powiadomić ich o zastałej sytuacji? Prosiłbym także o przekazani tej informacji znajomym. Zapewne dużo osób już wie o wycieku ale nie zakładam, że każda firma podjęła jakieś działanie.

 

Czy już podjęliście jakieś działania @itomek @home_pl @SeoHost.pl @MyDevil.net @Small.pl @Domeny.tv @dhosting.pl?

[webh]

Cześć,

 

Nie byliśmy wywoływani, ale na bieżąco śledzimy tego typu doniesienia i staramy się reagować. Po naszej strony zmieniliśmy dane dostępowe do wszystkich kont, które znalazły się w wykazie i które były jakkolwiek powiązane z naszymi usługami. Jesteśmy w trakcie powiadamiania użytkowników objętych sytuacją o problemie.

 

Jako ciekawostka możemy dodać, że w naszym przypadku w dużej mierze na wykazie znalazły się konta porzucone, które ostatnie działające usługi miały kilka lat temu. 

 

Pozdrowienia

webh.pl

[itomek]

W sytuacji, kiedy tak często użytkownicy stają się ofiarami ataków mających na celu pozyskanie ich haseł dostępowych do różnych usług, potwierdza się znana już od dłuższego czasu prawda, że samo hasło to za mało i trzeba korzystać z ochrony 2FA.

 

Zwrócę uwagę na fakt, że dostęp do Panelu Klienta nazwa.pl od dawna jest domyślnie zabezpieczony za pomocą logowania 2FA. Użytkownicy naszych usług mogą też korzystać z ochrony 2FA w dostępie do CloudHosting Panel (zarządzanie hostingiem), a także włączyć taką ochronę dla swoich kont e-mail (odbieranie poczty przez interfejs webowy Cloud Mail oraz protokoły IMAP4 i POP3).

 

W naszej komunikacji regularnie zachęcamy do korzystania z uwierzytelniania dwuskładnikowego i cieszymy się, z dnia na dzień użytkowników tej formy zabezpieczenia jest coraz więcej.

[theqkash]

1 minutę temu, itomek napisał(a):

2FA

 

admin.nazwa.pl też jest domyślnie w ten sposób zabezpieczony?  Pytam bo dużo tam do tego panelu jest haseł.

[Tweedlex]

20 minut temu, webh napisał(a):

Cześć,

 

Nie byliśmy wywoływani, ale na bieżąco śledzimy tego typu doniesienia i staramy się reagować. Po naszej strony zmieniliśmy dane dostępowe do wszystkich kont, które znalazły się w wykazie i które były jakkolwiek powiązane z naszymi usługami. Jesteśmy w trakcie powiadamiania użytkowników objętych sytuacją o problemie.

 

Jako ciekawostka możemy dodać, że w naszym przypadku w dużej mierze na wykazie znalazły się konta porzucone, które ostatnie działające usługi miały kilka lat temu. 

 

Pozdrowienia

webh.pl

Super, zapomniałem was wywołać.

Wyciek wygląda na zlepek, większość danych jest raczej dosyć stara, lecz nadal dużo z nich dalej działa. Lepiej dmuchać na zimne.

[itomek]

26 minut temu, theqkash napisał(a):

admin.nazwa.pl też jest domyślnie w ten sposób zabezpieczony?  Pytam bo dużo tam do tego panelu jest haseł.

 

Domyślnie aktywna jest ochrona logowania do Panelu Klienta. Ochrona CloudHosting Panel (admin.nazwa.pl) realizowana jest z użyciem haseł Google Authenticator, jej aktywacja jest bardzo prosta.

 

Opis mamy na stronie https://www.nazwa.pl/pomoc/baza-wiedzy/jak-skonfigurowac-zabezpieczenie-2fa-dla-cloudhosting-panel/

Edytowane 30 Maja 2023 przez theqkash
Usunięta jawna reklama operatora.

[theqkash]

1 minutę temu, itomek napisał(a):

jej aktywacja jest bardzo prosta:

 

No i super, ale jak ktoś tego sobie nie aktywował, to dowolny człowiek będzie mógł sie zalogować na konta które znalazły się w wycieku, bo 2FA nie ma a z tego co piszesz nic dalej nie zrobiliście z kontami które wyciekły?

[itomek]

15 minut temu, theqkash napisał(a):

z tego co piszesz nic dalej nie zrobiliście z kontami które wyciekły?

 

Nic takiego nie napisałem. Tego typu sytuacje u nas są monitorowane na bieżąco, a stosowne działania - zawsze podejmowane. 

 

Zwracam jednak ponownie uwagę, że ufanie hasłom - bez względu na to, jak są "silne" - nie jest dobrym rozwiązaniem, a na przykład w nazwa.pl mamy na tego typu sytuacje świetne antidotum.

[theqkash]

3 minuty temu, itomek napisał(a):

a stosowne działania - zawsze podejmowane. 

 

To może warto byłoby o tym właśnie wspomnieć i opisać te działania, bo właśnie o tym było pytanie autora tematu, zamiast szerzyć wieczną i niekończącą się kampanię sukcesów. Zamiast tego zacząłeś przechwałki o 2FA, które musiałem skrócić, a jak się okazuje nie wszystko co wyciekło i dotyczyło Waszych userów jest tym 2FA zabezpieczone z automatu. 

[itomek]

4 minuty temu, theqkash napisał(a):

przechwałki o 2FA

 

[Konrad]

Nie wiem jak inne firmy hostingowe, ale dhosting miał dość niedawno kampanię obejmującą fałszywe mailingi podszywające się pod nich. Mailingi te były targetowane w klientów w celu wyłudzenia od nich pewnych danych. Minęło sporo czasu, zanim dhosting podjął temat i zaczął traktować go poważniej, więc nie spodziewałbym się żadnej reakcji z ich strony w - oczekiwanym w takich przypadkach - krótkim czasie.

[Mega]

Godzinę temu, itomek napisał(a):

 

admin.nazwa.pl / mysql.nazwa.pl jak się ma do tego wszystkiego ?  Bo tak chyba na coś koło prawie 4k rekordów średnio to 2F.. coś tam zadziała  o ile ktoś dłużej niż rok trzymał   Aż mi się temat z wnioskiem o authifno przypomniał bo tyle z panel.nazwa.pl będzie można wyciągnąć. Jakiemu hackierowi będzie się chciało wniosek papierowy wysyłać, żeby komuś domenę podpierdzielić Teraz rozumiem te wnioski papierowe, jednak jest to jakiś plus.

Edytowane 30 Maja 2023 przez Mega

[MyDevil.net]

Również śledzimy takie incydenty na bieżąco i podejmujemy odpowiednie działania. Nasi Klienci zostali powiadomieni o zaistniałej sytuacji.

[itomek]

8 godzin temu, Mega napisał(a):

admin.nazwa.pl / mysql.nazwa.pl jak się ma do tego wszystkiego ? 

 

zacytuję:

 

10 godzin temu, itomek napisał(a):

Tego typu sytuacje u nas są monitorowane na bieżąco, a stosowne działania - zawsze podejmowane. 

 

[l3szcz]

43 minuty temu, itomek napisał(a):

 

zacytuję:

 

 

To co zrobiliście do tej pory?

[sempre]

Weryfikacja dwuetapowa wszędzie gdzie ma się domeny, hostingi to rzecz jasna must-have. Bardziej boli jednak fakt, że rząd nie edukuje wystarczająco kampaniami społecznymi. 0-daye w adobe acrobacie, outlooku, BEEF, pobieranie ukochanego pakietu adobe z  torrentów, z publicznych trackerów gdzie 50% zawiera infostealery, bardzo legitnie wyglądający phishing mailowy od instytucji rządowych, jest tego masa, zawodzi czynnik ludzki po raz kolejny. 

[Hostido.pl]

Po analizie i porównaniu danych, zresetowaliśmy hasła użytkownikom dotkniętych wyciekiem oraz poinformowaliśmy ich o zaistniałej sytuacji, wysyłając dodatkowo zalecenia o możliwości włączeniu 2FA. 

[Tom X]

Godzinę temu, Hostido.pl napisał(a):

Po analizie i porównaniu danych, zresetowaliśmy hasła użytkownikom dotkniętych wyciekiem oraz poinformowaliśmy ich o zaistniałej sytuacji, wysyłając dodatkowo zalecenia o możliwości włączeniu 2FA. 

W waszej bazie wiedzy brakuje opisu jak posługiwać się 2FA, co zrobić w razie utraty/resetu telefonu. Użytkownik zaawansowany poradzi sobie, użytkownik niezaawansowany kompletnie nie będzie wiedział o co chodzi i w obawie, że coś popsuje lub utraci dostęp do konta - nie skorzysta z tej formy zabezpieczenia.

Edytowane 31 Maja 2023 przez Tom X

[Tom X]

3 godziny temu, sempre napisał(a):

Weryfikacja dwuetapowa wszędzie gdzie ma się domeny, hostingi to rzecz jasna must-have.

Zgoda, pod warunkiem porządnej implementacji 2FA (co najmniej dwie metody do wyboru, w tym jedna - SMS), solidnej dokumentacji usługi ze szczególnym uwzględnieniem sytuacji utraty dostępu do urządzenia za pomocą którego dokonuje się weryfikacji. Banki zazwyczaj robią to dobrze. Polskie firmy hostingowe - zazwyczaj źle albo wcale. I to jest w pewnym sensie dramat środowiska, które powinno wytyczać standardy.

[kafi]

10 minut temu, Tom X napisał(a):

Banki zazwyczaj robią to dobrze. Polskie firmy hostingowe - zazwyczaj źle albo wcale. I to jest w pewnym sensie dramat środowiska, które powinno wytyczać standardy.

Nie ma to jak porównywać instytucje mające sieć placówek terenowych z obsługą petenta do firm gdzie dla większości to nawet w ich rejestrowej siedzibie pocałujesz jako petent klamkę

[Tom X]

9 minut temu, kafi napisał(a):

Nie ma to jak porównywać instytucje mające sieć placówek terenowych z obsługą petenta do firm gdzie dla większości to nawet w ich rejestrowej siedzibie pocałujesz jako petent klamkę

Nie trzeba sięgać do TOP50, wystarczy przyjrzeć się TOP10 (a nawet TOP1).

[SeoHost.pl]

Dzięki za wywołanie nas do tablicy, działaliśmy od wczoraj z odsianiem części nieuporządkowanych danych i sukcesywnie resetowalismy hasła do kont i serwerów.  Skala na szczęście nie była u nas ogromna i dotyczyła mniej niż 1% userów. Całe szczęście nie mamy kodów authinfo dostępnych  w panelu... 

 

Dobijamy ręcznie jeszcze rzeczy, które zostały po pracy skryptów

 

[Tom X]

Ministerstwo cyfryzacji przygotowało bezpieczną stronę (logowanie m.in. profilem zaufanym) z wyszukiwarką adresów e-mail/telefonów do sprawdzenia pod kątem wycieku:

https://bezpiecznedane.gov.pl/

[Pawel_15]

9 godzin temu, sempre napisał(a):

0-daye w adobe acrobacie

Staram się aktualizować na bieżąco.

9 godzin temu, sempre napisał(a):

outlooku

Od wielu lat trzymam Office 365 który aktualizuje się w tle.

9 godzin temu, sempre napisał(a):

pobieranie ukochanego pakietu adobe z  torrentów, z publicznych trackerów gdzie 50% zawiera infostealery

Płacę 12 euro miesięcznie żeby mieć to na legalu bo GIMP jakoś mi nie leży. Ostatni raz torrenty typu kaza, mule czy emule miałem jak funkcjonowała nazwa własna Neostrada.

 

Nie dostałem żadnego maila z żadnej firmy dotyczącej wycieku danych, resetu haseł etc. Na stronie rządowej dane nie znajdują się na listach wycieku.

22 godziny temu, Konrad napisał(a):

dhosting miał dość niedawno kampanię obejmującą fałszywe mailingi podszywające się pod nich. Mailingi te były targetowane w klientów w celu wyłudzenia od nich pewnych danych

Te maile szły ilościowo w tony. I były dosyć dobrze zrobione.

 

Ogólnie to mam chyba farta że mnie nigdzie nie ma.

[sempre]

To nie fart a po prostu rozsądkowe podejście poparte doświadczeniem, kom skierowany był bardziej do sytuacji typowego kowalskiego i do bezradności ministerstwa cyfryzacji, bo jak można nazwać to, że wpadli na taki pomysł dopiero teraz kiedy rozdmuchały to media, takie combolisty pod PL już się zdarzały wielokrotnie, może nie w takiej skali ale i tak spore. Pokazuje to m.in efekt skali, ile rekordów tam jest, ilu kowalskich nie rozumie aktualnych wektorów ataku na windowsa, przeglądarek i nieaktualizowanego softu.

Edytowane 31 Maja 2023 przez sempre