Prosimy wszystkich użytkowników portalu benchmark.pl, którzy mają u nas konto, o zmianę hasła. Wciekła nasza lista hashy haseł.
Co to są hashe haseł?
Nie przechowujemy w bazie odkrytych/jawnych haseł. Wszystkie hasła są szyfrowane. I właśnie taka wersja haseł wyciekła - zaszyfrowana. To nie powód do paniki, jednak proste hasła można dziś odszyfrować bardzo szybko.
Zmień koniecznie hasło na benchmark.pl
Zawsze lepiej dmuchać na zimne, dlatego prosimy Was o zmianę hasła do logowania w serwisie (zwłaszcza jeśli było proste). Jeżeli używaliście tego samego hasła co na benchmark.pl, również w innym miejscu - zmieńcie hasło i tam.
Jak ustawić dobre hasło?
Dobre hasło powinno zawierać w miarę losowe znaki. Najczęstszą próbą odszyfrowania hasła jest tzw metoda słownikowa. Algorytm deszyfrujący przeszukuje słownik. Dlatego Hasła typu Adam25, qwerty czy 123 nie są bezpieczne. Postarajmy się aby nasze hasło składało się z co najmniej 8 znaków, zawierało małe i wielkie litery, cyfry, oraz chociaż jeden znak specjalny. Unikajmy haseł składający się z naszych nicków, numerów telefonów oraz innych słów, które możemy znaleźć w słowniku, lub łączenia tych słów ze sobą.
Cechy dobrego hasła:
- minimum 8 znaków
- małe i wielki litery w niekonwencjonalnych miejscach
- wplecione znaki specjalne
- przeplataj litery dowolnego wyrazu z cyframi
Informacje o wycieku
O możliwym wycieku poinformował nas wczoraj wieczorem Adam Haertle z serwisu ZaufanaTrzeciaStrona.pl.
W sieci w lipcu pojawiła się lista haszy haseł użytkowników - liczba użytkowników to ok. 184 tysiące, część haszy to MD5, część to bcrypt
Niezwłocznie podjęliśmy działania w celu wyjaśniania tej sprawy. Jednocześnie poprosiliśmy Adama o odpowiedzi na kilka pytań, które na pewno nurtują teraz naszych czytelników.
Jakie konsekwencje niesie za sobą taki wyciek dla użytkowników?
Ujawnienie samych skrótów haseł nie stanowi żadnego zagrożenia, ponieważ nie są one powiązane z kontami użytkowników. Należy jednak założyć, że w rękach atakującego znalazły się szersze dane, w tym adresy email użytkowników, powiązane ze skrótami haseł. Istnieje zatem ryzyko, że na podstawie tych danych napastnicy podejmą próby użycia par email + hasło do prób logowania zarówno na konta pocztowe użytkowników, jak i do innych serwisów internetowych. Jeśli zatem gdziekolwiek używaliście tej samej pary email + hasło, co w benchmark.pl, warto te hasła zmienić na unikatowe. Szczególnie dotyczy to serwisów przechowujących poufne dane (np. poczta, serwisy społecznościowe, hostingi plików) jak i serwisów powiązanych z automatycznymi metodami płatności (aukcyjne, filmowe, usługi transportowe, gry online itp.)
Jaka jest różnica MD5 a bcrypt?
Zarówno MD5 jak i bcrypt są sposobami przechowywania haseł. bcryp to dużo nowsza i bezpieczniejsza metoda - skróty haseł przechowywane w tej postaci są o kilka rzędów wielkości trudniejsze do odgadnięcia przez włamywaczy niż w przypadku MD5. Oznacza to, że jeśli hasło składające się z 8 losowych liter, zapisane w MD5, włamywacz może zgadnąć w ciągu doby, to zgadnięcie takiego samego silnego hasła zapisanego w bcrypt zajmie mu setki lat.
Jak w przyszłości ustrzec się, jako użytkownik internetu, od nieprzyjemnych konsekwencji takich wycieków danych?
Najprostszym sposobem utrudnienia życia złodziejom danych jest używanie unikatowych haseł. Oznacza to, że nigdy nie używamy tego samego hasła w żadnym innym serwisie niż ten, gdzie je już raz podaliśmy. Posiadanie dziesiątek, a nawet setek haseł wymaga zarządzania nimi - w tym celu warto używać dedykowanego programu, czyli menedżera haseł. To program, który zapamięta hasła za nas i pomoże nam przy ich wpisywaniu.
Szyfrowanie haseł na benchmark.pl
W 2018 roku dla kont użytkowników wprowadziliśmy hasze bcrypt, dlatego jeśli w tym okresie zakładałeś swoje konto lub zmieniałeś hasło, Twoje hasło i konto powinno być bezpiecznie (jeśli nie jest za proste hasło).
Jak mogło dojść do wycieku?
Do wycieku mogło dojść w jednym z dwóch największych serwisów należących do benchmark. Są to: serwis główny dostępny pod adresem www.benchmark.pl, lub forum dostępnego pod adresem forum.benchmark.pl. Na ten moment jest za wcześnie aby móc stwierdzić gdzie dokładnie nastąpił atak. Przed nami długie noce z oczami skierowanymi na logi systemowe, które zapewne skrywają odpowiedź na pytanie - jak w ogóle doszło do wycieku tych danych. Od początku czerwca obserwowaliśmy wzmożony ruch botów, których lokalizacja wskazywała na wschodnią część Azji. Zadaniem takich botów jest przeszukiwanie serwisów internetowych pod kątem podatności na różnego typu ataki. Jak już się dowiedzieliśmy, co najmniej jeden z tych ataków, których byliśmy celem, okazał się skuteczny.
Co zrobimy by w przyszłości zminimalizować ryzyko podobnej sytuacji?
Przede wszystkim zaczniemy od przeczesania wszelkich logów systemowych, jakie tylko mamy dostępne. To pozwoli ustalić nam jakie serwisy, oraz w które miejsca tych serwisów celowali napastnicy aby uzyskać dostęp do bazy danych, a przede wszystkim, logi wskażą nam miejsce gdzie atak okazał się skuteczny. Po ustaleniu lokalizacji podatnej na ataki części serwisu, natychmiast wykonamy audyt bezpieczeństwa tej części systemu i wyeliminujemy znalezione podatności. Prewencyjnie zlecimy również audyt bezpieczeństwa firmie zewnętrznej, aby mieć pewność, że nasze działania przyniosły oczekiwany rezultat. Jako środek zapobiegawczy bierzemy również pod uwagę zablokowanie ruchu z niektórych lokalizacji, przede wszystkim z Azji Wschodniej i Środkowej.
Dlaczego dochodzi do takich sytuacji?
Miłośnicy włamywania się do baz i łamania haszy testują swoje umiejętności i metody zgadywania. Mając na uwadze, że benchmark.pl nie przechowuje wrażliwych danych celem ataku nie były dane użytkowników. Jak twierdzą specjaliści, takie wycieki często zwiększają świadomość i bezpieczeństwo w sieci.
Nasza reakcja
Wyznaczony w naszej firmie Inspektor Ochrony danych Osobowych, w godzinę po otrzymaniu wiadomości o wycieku, rozpoczął procedury umożliwiające stwierdzenie i ocenę tego incydentu.
Regulamin obliguje go do dokonania rzeczowej analizy w celu stwierdzenia czy doszło do naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO. Według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.
Konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwala stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą o naruszeniu).
Według wiedzy jaką dysponujemy na tę chwilę, nie doszło też do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania naszej bazy z danymi użytkowników. Jednocześnie podejmujemy działania mające na celu przeciwdziałanie skutkom tego incydentu i naruszeniom w przyszłości.
Przepraszamy naszych czytelników za zaistniały problem.
Najczęstsze pytania:
Jakie dane użytkowników przechowujemy?
- nick
- imię i nazwisko (opcjonalnie)
- data urodzenia (opcjonalnie)
Jakich danych, wbrew temu co pojawiło się w sieci, nie gromadzimy
- numer telefonu
- adres
Zadne z tych danych, jakie przetrzymujemy nie są uznawane przez UODO za dane wrażliwe. Tak, są to dane osobowe - głównie wtedy jeśli ktoś poda nazwisko lub ma imię i nazwisko w adresie email, ale takie dane nie stanowią wysokiego ryzyka.
Komentarze
101https://zaufanatrzeciastrona.pl/post/wyciek-danych-uzytkownikow-serwisu-benchmark-pl/
Wa&{Kblty&l[.YI&6I
:)
Unikatowe dla wszystkich serwisów z których korzystam w sieci.
Czy nie mozna w takich przypadkach zrobic wymuszonej zmiany hasel? Np wysyla sie wszystkim uzytkownikom na mejla auto-reset hasla? Jezeli nie to dlaczego?
gownogowno123454321
Wtf :D
ale piotrek190@gmail.com to juz pewniak :D
Pozdrawiam geniusza, który wykradł hasła i innych geniuszy, którzy mają takie same hasło do emaila, czy czegokolwiek ważnego.
"Zgodnie z definicją Urzędu Ochrony Danych Osobowych, w incydencie tym nie nastąpiło naruszenie ochrony danych osobowych.
Według wiedzy jaką dysponujemy na tę chwilę, nie doszło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych, przechowywanych w naszej bazie."
Skoro nawet nie wiecie co dokładnie wyciekło bo NIE wiecie jak to było możliwe... To, że opublikowano tylko wycinek danych nie znaczy, że nie wyciekło znacznie więcej typów danych. Jeśli wyciekły także loginy to jest to naruszenie niezgodne z prawem bo loginem może być nazwisko, jeśli wyciekły adresy email to TEŻ jest to naruszenie bo przestępca może bezpośrednio trafić od adresata!. Jeśli wyciekły także IP, to też może być traktowane jako dane osobowe w szczególności w powiązaniu z innymi danymi, itd...
Do odważnych świat należy ale w przypadku ochrony danych osobowych to aż tak odważny bym nie był i od razu zgłosił to do UODO i prokuratury. Bo KARY za niezgłoszenie mogą spowodować, że zbankrutujecie...
https://xkcd.com/936/
Nie dosc ze ciągle jakies przecieki w artykułach to jeszcze wycieka wszystko z bazy danych użytkowników.
2. wstyd, że jeszcze w 2018 używaliście MD5
3. w sumie nie byłoby żadnym wyzwaniem zaktualizować hash automatycznie przy pierwszym logowaniu, w końcu jest ono obecne w pamięci systemu w formie jawnej (ale zdaję sobie sprawę, że stosowany system pewnie tego nie oferował w standardzie, a to jest dla większości jednoznaczne z "nie da się")
Dla danych wrażliwych robi się api, aby baza nie była podawana na patelni. chyba że baza jest lepsza niż mysql, to wtedy blokujemy dla tabel z danymi wrażliwymi zapytania typu select * from . tutaj jak widać zabrakło wszystkiego. niejeden krytyczny tekst na ten temat napisałem, ale to jest walenie łbem w mur.
jesli macie TAKIE PROBLEMY
...musimy się pożegnać
- likwiduję konto
Może jak zatkają przeciek, może się skuszę na zmianę...
Nie znaleziono strony. " moze ktos pomoc ?