Viimeaikaiset tietovuodot

28.11.2011 KLO 18:36

Heitänpä minäkin oman lusikan soppaan tai heitän lusikan soppaan tässä blogissa. Olen puhunut tästä aiheesta RantSitellä ja yksityisissä keskusteluissa. Nyt on aika tuoda tämä aihe myös tälle sivustolle.

Viime yönä julkaistiin taas tietoja, tällä kertaa kyseessä oli noin 70000 ihmisen salasanat, sähköpostiosoitteet ja tunnukset Terve.fi sivustoperheestä. Näiden takanahan on Darwin Media Oy ja heidän mukaansa Helistin.fi sivustolle oli tehty tietoturvapäivitykset (tästä lisää kohta). Listassa oli mm. lääkärien ja muiden tietoja.

Mitä kautta tämä hyökkäys tehtiin? Vastaus on yksinkertainan: PhpBB2 foorumin kautta. He väittivät, että päivitykset olivat tehty. Muuten hyvä, mutta PhpBB2 ei ole tullut moneen vuoteen tietoturvapäivityksiä, sen tukikin on jo lopetettu. He sanoivat tehneensä asianmukaiset päivitykset vuonna 2007, eli neljä vuotta sitten. Kuinka moni uskoo, että neljä vuotta sitten päivitetty sovellus on enää tietoturvallinen? En minä ainakaan. Heidän olisi pitänyt päivittää PhpBB3 versioon aikoja sitten – miksihän näin ei muuten tehty?

PhpBB2 virallinen tuki lopetettiin 1.2.2009 ja sitä ei saanut edes ladattua 1.10.2008 jälkeen (lähde). Huomaatteko muuten, että he sanoivat tehneensä päivitykset vuonna 2007? MikroPC:n mukaan heillä oli käytössä vuonna 2006 julkaistu 2.0.22 versio (lähde), eli vielä heikommaksi mennään tämänkin asian suhteen.

Salasanan suojaus PhpBB2:ssa oli erittäin huonossa jamassa tämän päivän tarpeisiin verrattuna. Pelkkänä md5 hashauksella suojatut salasanat voidaan selvittää hyvinkin pikaisesti. En kerro tämän selvittämisestä sen enempää, mutta tuttavani OP on kirjoittanut aiheesta artikkelin.

Vuodosta saaduilla tunnuksilla päästään muihinkin sivustoihin kuten Mustapippuri.fi, Tohtori.fi, Terkkari.fi ja Pudottajat.fi. Sinänsä hyvä idea, että yhdellä tunnarilla pääsee joka paikkaan, mutta miksi sitten pitää yhtä sivustoa heikoimpana lenkkinä? Tietty jokaisessa järjestelmässä on heikoin lenkki, mutta se on yleensä käyttäjä itse.

Sitä en osaa sanoa kuka on tämän vuodon takana ollut, Anon Finland on kieltänyt olevansa osallisena ja lista julkaistiin Ylilaudalla. Tuolta sivustolta muuten ihmiset menivät kirjautumaan Helistin.fi sivustolle (sekä muille). Eräs henkilö sulki tuon Helistin.fi saitin tai näin ainakin MikroPC väittää.

Tämänkin olisi voinut väittää päivittämällä sovellukset ajantasaiseksi. Yleisimmät mokat viime aikaisiin tietovuotoihin taitaa olla peru SQL-injektio, järjestelmien päivittämättömyys ja oma huolimattomuus järjestelmän tietoturvassa (tämä pätee kahteen edelliseenkin).

Kiitos ja hyvää alkavaa viikkoa. Mielipiteet ovat tervetulleita, sekä mikäli tiedoissa on virheitä niin saa korjata.

Parsimaani dataa: (datassa voi olla virheitä)
Tunnuksien mailiosotteiden domainit
Salasanojen tutkailua

Muokattua: Lisäsin loppuun hieman parsimaani dataa.

Keskustelu

Tämä artikkeli on tuotu vanhasta blogista ja niiden artikkelien kommentointi on uudistettu. Vanhaan artikkeliin voi kommentoida vain blogin kautta, kun taas uudemmissa näytetään myös Mastodonin kautta tulleet kommentit.

Kommentoi

Voit kommentoida artikkelia alla olevan lomakkeen avulla. Roskapostin välttämiseksi kysymme sähköpostin, mutta emme julkaise sitä. Tekstikenttä ottaa vastaan vain tekstiä ja kaikki muu siivotaan pois.

Terppa
12 vuotta sitten
Se ettei virallisia päivityksiä enää tehdä phpBB2:een ei kerro sitä etteikö sen tietoturvaa päivitettäisi? Olen ainakin saanut käsityksen et esim ilmaisia foorumeita tuottavat palveluntarjoajat päivittävät itse vielä phpBB2 foorumeiden tietoturvaa.
Marko Kaartinen
12 vuotta sitten
Totta voi olla tuokin, mutta tästä on saanut vähän huonon kuvan päivityksistä. Itse en henkilökohtaisesti usko, että ne ovat olleet ajantasalla - varsinkaan jos versio on ollut 2.0.22. Tämä olisi hauska kyllä tietää onko sitä päivitetty näillä epävirallisilla päivityksillä. Mikäli jollain on tietoa niin jakoon!
Petri
12 vuotta sitten
Onko hajua miten se phpBB:n kautta tehty murto on tehty? Olen kiinnostunut murtautumisen teknisestä toteutuksesta, sillä se auttaisi hahmottamaan mikäli voisin parantaa omien sivustojeni tietoturvaa jollain muotoa.
Marko Kaartinen
12 vuotta sitten
Itselläni ei ole tätä tietoa, olisi kyllä hyvä tietää sinällään miten tämä tehtiin. Liekö ollut perus SQL-injektio tai sitten jotain muuta? Mikäli joku tietää niin voisi valaista tätäkin asiaa, pitää itsekin katsella josko löytäisi jotain vastauksen tynkää.
Mastodon
GitHub
RSS
1
1
1
0
1