Jeden z większych i najstarszych w Polsce postali erotycznych Zbiornik.com padł atakiem hakera i zostały skradzione dane użytkowników .

Oto oficjalny komunikat : 

Pod koniec marca otrzymaliśmy wiadomość, w której autor poinformował nas, że odkrył dziurę w systemie i jest w posiadaniu poufnych danych pochodzących z naszych serwerów.



Przedstawiając siebie jako człowieka honoru, dla którego słowo i szacunek jest więcej warte niż pieniądze oznajmił nam, że dostał “na nas” zlecenie od konkurencji. Jednakże nie chcąc robić krzywdy ani nam, ani naszym użytkownikom przedstawił propozycję, w której dzięki kwocie 1000000PLN (płatne w bitcoinach) wskaże nam ową lukę jak również nie będzie go już “kusiło” aby wykorzystać posiadane dane “poza naszymi plecami”.

Niestety, po analizie logów okazało się, że faktycznie część bazy danych została skopiowana.
Nic nie wskazywało na to, że cracker zdołał złamać zabezpieczenia serwerowe, więc założyliśmy, że dziura jest w samym skrypcie starego zbiornika, przez co udało mu się dostać do jednej z baz danych.

Niemniej podjęliśmy szereg działań mających na celu dodatkowe zabezpieczenie serwerów oraz łatanie wszelkich potencjalnych luk. Po dwóch dniach prac byliśmy przekonani, że nam się udało.

Postanowiliśmy więc sprawdzić, czy nasze zabezpieczenia okazały się skuteczne.
Odpisaliśmy, iż jesteśmy w stanie zapłacić i prosimy o podanie adresu konta (bitcoin), jednakże wymogiem jest podanie aktualnych danych dostępowych do bazy danych, które upewnią nas, że luka, za wskazanie której mamy zapłacić nadal istnieje.

Dostaliśmy odpowiedź wraz z adresem bitcoin umożliwiającym wpłatę okupu wraz z odmową podania aktualnych danych dostępowych, co utwierdziło nas w przekonaniu, że nasze działania przyniosły odpowiedni skutek.

Mając tą świadomość wprowadziliśmy dodatkowe wymogi dotyczące haseł oraz wymusiliśmy ich zmianę wszystkim użytkownikom.
Nowe hasła są już w pełni zabezpieczone przez hasz bcrypt z losową solą.

Gorzka chwila prawdy.
Tak, mieliśmy świadomość, że jakość kodu starego zbiornika nie jest najwyższych lotów.
Jest to zlepek prac różnej maści programistów, którzy przewinęli się przez zbiornik na przestrzeni ostatniej dekady.
Dlatego też kilka miesięcy temu powołany został nowy zespół odpowiedzialny za przepisanie całego zbiornika od podstaw, przy zachowaniu najwyższych standardów bezpieczeństwa.
Z naszej strony chcielibyśmy szczerze przeprosić wszystkich naszych użytkowników, mając jednocześnie nadzieję na “drugą szansę”. Nasza wina jest bezsporna.

Co teraz.
Wszystkim użytkownikom, którzy posługiwali się jednym hasłem “do wszystkiego” zalecamy jego zmianę.
W szególności w skrzynkach pocztowych.
Jeśli ktokolwiek padnie ofiarą szantażu zalecamy zgłosić sprawę na policję.
My dla policji mamy już pełny raport, który mamy nadzieję pomoże w ustaleniu tożsamości złodzieja.
Oferujemy także 10000zł nagrody za ujawnienie danych tego człowieka.

Co dalej.
Przeprowadzimy dodatkowy, kompleksowy audyt przez zewnętrzną firmę.
Wzorem największych firm zaoferujemy system nagród za pomoc w odnajdywaniu luk w oprogramowaniu.

(Visited 3 851 times, 2 visits today)