Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jeden z administratorów „WeLeakInfo” skazany na dwa lata więzienia
Zapewne większość z Was kojarzy „haveibeenpwned.com” – aplikację internetową stworzoną przez Troya Hunta, pozwalającą jej użytkownikom na sprawdzenie, czy ich prywatne dane (takie jak: adres e-mail, hasło czy numer telefonu) zostały opublikowane w wyniku wycieku danych:
A tak wyglądał nieistniejący już serwis „WeLeakInfo”:
Pod względem funkcjonalności „WeLeakInfo” było bardzo podobne do „haveibeenpwned.com”. Tutaj również musieliśmy podać jakąś informację, pełniącą funkcję „punktu zaczepienia” (np. adres e-mail), a „efekt końcowy” również był taki sam – wiedzieliśmy, czy nasze poufne dane (takie jak np. hasło czy numer telefonu) wyciekły do internetu. W styczniu 2020 roku nastąpiła nagła zmiana szaty graficznej strony:
Jak to w życiu zwykle bywa – diabeł tkwi w szczegółach. Spójrzmy jeszcze raz na oba serwisy i spróbujmy skorzystać z tego obecnie działającego:
W przypadku „haveibeenpwned.com” aplikacja informuje użytkownika, z jakiego dokładnie serwisu (o ile to możliwe) wyciekły jego dane. W przypadku „WeLeakInfo” wyglądałoby to mniej więcej tak:
„WeLeakInfo” umożliwiał szerszy wgląd w prywatne dane (hasła i inne) osób znajdujących się w wyciekach, co prowadziło do licznych nadużyć (np.: przejmowania cudzych kont, kradzieży tożsamości czy stalkingu).
23-letni obywatel Holandii skazany
Jak informuje therecord, jeden z trzech administratorów serwisu „WeLeakInfo”, 23-letni obywatel Holandii został skazany na dwa lata pozbawienia wolności oraz na rok w zawieszeniu. Jego rola w procederze sprowadzała się do przetwarzania danych (dodawania nowych baz danych) oraz do obsługi klienta (helpdesk). Warta uwagi jest także rozmowa administratorów strony na kilka dni przed zatrzymaniem:
Przestępcy bez większych skrupułów chcieli przekazać dane jednego ze swoich klientów organom ścigania, śmiejąc się z niedziałającej funkcji „usuń konto”. Choć w tym przypadku jest to pozytywna wiadomość (dane użytkowników WLI są w rękach organów ścigania), to jednak problem z przechowywaniem danych i usuwaniem ich na żądanie jest powszechny również w przypadku legalnych serwisów.
~ Jakub Bielaszewski
Jest też strona dehashed.com, gdzie do niedawna (bodajże do lutego) z darmowym kontem można było wyciągnąć podobne dane, w tym hasła. Obecnie przez z tego co pamiętam zbyt duże użycie trzeba mieć płatne konto.
Przypomnijcie mi, na której stronie dało się podejrzeć ile % haseł z danego wycieku jest już złamane? Któraś z tych dwóch?
było w hashes.org, która już jest kaput