Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Wyciek e-maili oraz haseł z dużego sklepu cyfrowe.pl
Kolejni czytelnicy alarmują nas o wycieku, o którym informuje sklep cyfrowe.pl. Obecnie sklep bywa momentami niedostępny:
Sama wersja nginx 1.6.2 – to rok 2014… Jednak przechodząc do sedna, sklep rozesłał niedawno takie informacje:
Z przykrością informujemy, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do sklepu części naszych Klientów. Chodzi o adres email (login) oraz hasło. Istnieje ryzyko, że dotyczy to wszystkich klientów i również pozostałych Twoich danych, jak imię, nazwisko, numer telefonu czy adres dostawy zamówienia. Nieuprawniony dostęp nie dotyczy informacji o kartach płatniczych, loginów do banków czy informacji podawanych we wnioskach ratalnych, gdyż Cyfrowe.pl nie gromadzi tych danych – są one gromadzone w bazach operatora płatności i banku.(…)
Zazwyczaj sklepy czy inne serwisy, które są dotknięte wyciekiem informują, że hasła było „zaszyfrowane” czy bardziej poprawnie „zahashowane” lub przechowywane w sposób uniemożliwiający bezpośredni ich odczyt z bazy (nawet administratorom sklepu). Tutaj (przynajmniej sądząc po komunikacie) jest inaczej. Aktualizacja: sklep uzupełnił informacje podając, że hasła były zahashowane. Trudno na razie powiedzieć w jaki sposób atakujący dostali dostęp do bazy systemu. W każdym razie sklep informuje:
W celu zminimalizowania negatywnych skutków, bezzwłocznie zostały zmienione hasła dostępowe do Twojego konta w naszym sklepie.
Proponowalibyśmy jeszcze solidnie przepatrzyć system w poszukiwaniu backdoorów czy po prostu podatności. Bo bez załatania tej ścieżki hasła być może będzie konieczność resetu hasła wszystkim użytkownikom „co chwilę”.
Jaka może być skala wycieku? Sklep działa około 18 lat, choć nie informuje czy wyciekła cała baza, czy tylko jej część. Zazwyczaj jednak jak cieknie – to wszystko; choć z pobieżnych oględzin wydaje się, że na przestrzeni tych kilkunastu lat silnik sklepu zmieniał się parę razy (poniżej widok z roku 2003):
–ms
„Sama wersja nginx 1.6.2 – to rok 2014… ”
Hmm….
Jest to do tej pory wspierana wersja z poprawkami, np. :
https://packages.debian.org/jessie/nginx
Do końca czerwca, 2020 – https://wiki.debian.org/LTS
Sam nginx wypuszcza poprawki do jeszcze starszych wersji:
https://nginx.org/en/security_advisories.html
Ufam, że nie zachowujecie się jak co poniektórzy audytorzy których spotkałem co uznają tylko i wyłącznie najnowszą wersję danego oprogramowania i nie rozumieją, że w świecie Open Source poprawki bezpieczeństwa się backportuje. 8]
To nie updatey MS, gdzie dodaje się mnóstwo nowych rzeczy aby rewerse eng. poprawek był zbyt kosztowny. W OpenSource jak tylko wyjdzie łata to już wiadomo gdzie jest błąd.
Sam numer wersji danego softu jeszcze o niczym nie świadczy.
Dużo ważniejsze IMHO jest to co tam jest zainstalowane i jak skonfigurowane.
P.S.
W Enterpriseowych RHEL są jeszcze starsze kwiatki i też mają wsparcie bezp. i backportowane poprawki. Do nie dawna nie było w nich nginxa, ale pewnie w RHEL6 byłby tak samo stary lub starszy.
Słuszna uwaga. Oczywiście że nic nie świadczy, można w odpowiedzi / czy nagłówku wpisać i Dupa v.0.0.1 alfa ;-) Choć jeśli serwis miał włam to na takie rzeczy trzeba patrzyć bardziej podejrzliwie :-)
Nadto nginx może być i najpewniej jest jako reverse z proxy. Czy ktoś mądrzejszy mógłby rozwinąć czy w tym zastosowaniu jest sens podnosić wersje?
W komentarzu pod postem u konkurencji cyfrowe napisało, że hasła były zahashowane, ale odmówili podania jakim algorytmem. Podobno część hashy jest już odwrócona i lata po różnych dziwnych miejscach w sieci.
Tak, podlinkowaliśmy to, bo odpowiedzieli nam też na maila (choć nie podali algo). Znowu stawiam że coś słabego – bo gdyby było coś mocnego to warto się pochwalić ;)
Mają Certyfikat Trusted Shops ;)