Jak więk­szość z Was wie, a je­śli nie to przy­po­mnę, kil­ka dni te­mu po­in­for­mo­wa­no, że w sie­ci krą­ży plik txt, w któ­rym za­war­te jest nie­mal 10 000 ha­seł pol­skich in­ter­nau­tów. Sprawę ja­ko pierw­szy na­gło­śnił vor­tal Niebezpiecznik.pl, któ­ry obec­nie jest chwi­lo­wo nie­do­stęp­ny z po­wo­du ata­ku DDoS (atak ma­ją­cy na ce­lu za­ję­cie ca­łych wol­nych za­so­bów ser­we­ra i je­go mak­sy­mal­ne spo­wol­nie­nie). Swoją dro­gą cie­ka­we, czy za atak od­po­wie­dzial­na jest ta sa­ma oso­ba, któ­ra uzy­ska­ła do­stęp do ha­seł. Plik za­wie­ra ad­re­sy e-mail i ha­sła do skrzy­nek ma­ilo­wych za­ło­żo­nych na naj­po­pu­lar­niej­szych pol­skich por­ta­lach (in­te­ria, onet, o2, wp).

Na dzień dzi­siej­szy każ­dy z wy­mie­nio­nych por­ta­li zo­stał już po­in­for­mo­wa­ny i za­re­ago­wał pu­bli­ku­jąc od­po­wied­nie oświad­cze­nia.

Interia.pl:

W związ­ku z za­ist­nia­łą sy­tu­acją, INTERIA.PL pra­gnie uspo­ko­ić i po­in­for­mo­wać, że wia­do­mość o ujaw­nie­niu ha­seł do ok. 10 tys. kont pocz­to­wych użyt­kow­ni­ków 4 por­ta­li – w tym nie­wie­le po­nad ty­sią­ca użyt­kow­ni­ków pocz­ty INTERIA.PL – spo­wo­do­wa­ła nie­zwłocz­ną re­ak­cję dzia­łu bez­pie­czeń­stwa por­ta­lu i za­blo­ko­wa­nie wszyst­kich po­ten­cjal­nie za­gro­żo­nych kont.W chwi­li obec­nej trwa do­cho­dze­nie, któ­re ma wy­ja­śnić przy­czy­ny za­ist­nia­łej sy­tu­acji oraz we­ry­fi­ka­cja hi­po­te­zy o praw­do­po­dob­nej kra­dzie­ży ha­seł przez zło­śli­we opro­gra­mo­wa­nie, za­in­sta­lo­wa­ne na kom­pu­te­rach po­szko­do­wa­nych użytkowników.W związ­ku z tym por­tal INTERIA.PL pra­gnie przy­po­mnieć wszyst­kim in­ter­nau­tom – bez wzglę­du na to, gdzie po­sia­da­ją swo­je kon­ta pocz­to­we – o ko­niecz­no­ści re­gu­lar­ne­go ska­no­wa­nia an­ty­wi­ru­so­we­go kom­pu­te­rów oraz do­ko­ny­wa­nia zmian ha­seł do­stę­pu do swo­ich kont, co po­mo­że unik­nąć po­dob­nych za­gro­żeń w przyszłości.Użytkownicy pocz­ty INTERIA.PL, któ­rych kon­ta z po­wo­du po­ten­cjal­ne­go za­gro­że­nia zo­sta­ły w so­bo­tę za­blo­ko­wa­ne, pro­sze­ni są o kon­takt z Biurem Obsługi Klienta por­ta­lu, na ad­res bok@firma.interia.pl lub te­le­fo­nicz­nie pod nu­mer (12) 646 28 12, w ce­lu we­ry­fi­ka­cji i umoż­li­wie­nia po­now­ne­go uzy­ska­nia do­stę­pu do swo­ich skrzynek.Pozdrawiamy, Dział PR INTERIA.PL

WP.pl:

W imie­niu Wirtualnej Polski pra­gnę ser­decz­nie po­dzię­ko­wać za szyb­ką re­ak­cję i prze­sła­nie do WP zgło­sze­nia dot. pu­bli­ka­cji kont i ha­seł użyt­kow­ni­ków WP w Internecie.Wirtualna Polska pod­ję­ła jesz­cze te­go sa­me­go dnia (so­bo­ta 26 czerw­ca 2010) dzia­ła­nia ma­ją­ce na ce­lu zwe­ry­fi­ko­wa­nie praw­dzi­wo­ści opu­bli­ko­wa­nych w Internecie da­nych oraz uzu­peł­nie­nia in­for­ma­cji o ew. ko­lej­ne li­sty kont.W wy­ni­ku prze­pro­wa­dzo­nych ana­liz roz­po­czę­to pro­ce­du­rę blo­ko­wa­nia kont użyt­kow­ni­ków. Ostatnie blo­ka­dy kont mia­ły miej­sce w so­bo­tę (26 czerw­ca 2010) w go­dzi­nach wieczornych.Dział Obsługi Klienta WP roz­po­czął ob­słu­gę zgło­szeń użyt­kow­ni­ków, któ­rych kon­ta zo­sta­ły za­blo­ko­wa­ne ad­mi­ni­stra­cyj­nie, w ce­lu przy­wró­ce­nia do­stę­pu do usług WP.

Onet.pl:

Dziękujemy za in­for­ma­cje. Natychmiast po zgło­sze­niu pod­ję­li­śmy od­po­wied­nie dzia­ła­nia zmie­rza­ją­ce do ogra­ni­cze­nia skut­ków ujaw­nie­nia te­go ty­pu da­nych.

O2.pl:

Bardzo dzię­ku­je­my za prze­sła­ne zgłoszenie.Uprzejmie in­for­mu­je­my, że Grupa o2 Sp. z o.o. pod­ję­ła na­stę­pu­ją­ce dzia­ła­nia w przed­mio­to­wej sprawie:1. Administracyjnie zo­sta­ły za­blo­ko­wa­ne kon­ta pocz­to­we użyt­kow­ni­ków znaj­du­ją­cych się na li­ście opu­bli­ko­wa­nej w Internecie.2. Użytkownicy, któ­rych kon­ta pocz­to­we zo­sta­ły za­blo­ko­wa­ne: a. przy pró­bie lo­go­wa­nia za po­mo­cą pro­gra­mu pocz­to­we­go (przez POP) otrzy­ma­ją ko­mu­ni­kat o błęd­nym ha­śle, b. przy lo­go­wa­niu przez WWW otrzy­ma­ją ko­mu­ni­kat o blo­ka­dzie ad­mi­ni­stra­cyj­nej z lin­kiem m.in. do for­mu­la­rza kon­tak­to­we­go

Jak wi­dzi­cie wszyst­kie po­szko­do­wa­ne por­ta­le już za­in­ter­we­nio­wa­ły i po­czy­ni­ły od­po­wied­nie kro­ki. Na dzień dzi­siej­szy plik moż­na jesz­cze od­na­leźć w in­ter­ne­cie, ale czy­nię (i nie tyl­ko ja) od­po­wied­nie dzia­ła­nia ma­ją­ce na ce­lu usu­nię­cie wszyst­kich ko­pii do­stęp­nych jaw­nie w in­ter­ne­cie. Jest te­go już bar­dzo nie­wie­le i do­stęp­ne do zna­le­zie­nia tyl­ko dla osób po­sia­da­ją­cych od­po­wied­nią wie­dzę w za­kre­sie ope­ra­to­rów wy­szu­ki­wa­rek.

Jako, że je­stem w po­sia­da­niu te­goż pli­ku po­sta­no­wi­łem zro­bić kil­ka sta­ty­styk. Na po­czą­tek war­to wspo­mnieć kil­ka szcze­gó­łów o spi­sie:

  • plik za­wie­ra 9329 wpi­sy
  • plik za­wie­ra ad­re­sy e-mail i ha­sła do skrzy­nek ma­ilo­wych za­ło­żo­nych na naj­po­pu­lar­niej­szych pol­skich por­ta­lach (in­te­ria, onet, o2, wp)
  • nie wia­do­mo ja­ka jest da­ta utwo­rze­nia tej ba­zy i w związ­ku z tym nie wia­do­mo jak sta­ra jest ta ba­za
  • no i nie wia­do­mo czy ha­sła na­praw­dę się zga­dza­ją, po­nie­waż nie moż­na te­go spraw­dzić nie ła­miąc pra­wa.

Warto też po­ka­zać jak się roz­kła­da­ją skra­dzio­ne da­ne na po­szcze­gól­ne por­ta­le:

  • 4636 – o2.pl
  • 2922 – wp.pl
  • 1332 – interia.pl
  • 439 – onet.pl

Na po­czą­tek ja­kiej dłu­go­ści ha­sła sto­su­ją in­ter­nau­ci.

Ilość zna­ków Ilość wy­stą­pień Procent ha­seł
5 971 10.41%
6 3705 39.71%
7 2106 22.57%
8 1502 16.10%
9 642 6.88%
10 260 2.79%
11 87 0.93%
12 39 0.42%
13 10 0.11%
14 6 0.06%
15 1 0.01%

Ogólnie da­je to nie­zbyt opty­mi­stycz­ny wy­nik, bo­wiem śred­nia dłu­gość ha­sła wy­nio­sła 6.78 zna­ku.

Następnie po­ku­si­łem się o spraw­dze­nie 10 naj­po­pu­lar­niej­szych ha­seł w tej ba­zie.

Hasło Ilość po­wtó­rzeń
123456 90
pol­ska 29
ma­trix 28
qwer­ty 26
12345 22
mo­ni­ka 22
zaq12wsx 22
mar­cin 20
mi­siek 19
ma­ster 18

Dodam jesz­cze, że człon ‚12345’ wy­stą­pił w ha­słach 173 ra­zy, człon ‚qwer­ty’ wy­stą­pił w ha­słach 62 ra­zy, na­to­miast człon ‚mar­cin’ wy­stą­pił w ha­słach 54 ra­zy. W dzie­się­ciu naj­po­pu­lar­niej­szych czło­nach wy­stę­pu­je aż pięć czło­nów za­wie­ra­ją­cych imię.

Przepraszam wszyst­kich, któ­rzy zo­sta­li po­szko­do­wa­ni, al­bo uży­wa­ją ta­kich ha­seł, ale te sta­ty­sty­ki są prze­ra­ża­ją­ce. Trudno mi zna­leźć in­ne sło­wo na okre­śle­nie te­go co zo­ba­czy­łem w pli­ku. Jest jed­nak ma­lut­kie świa­teł­ko w tu­ne­lu. Mianowicie lu­dzie sta­ra­ją się pod­sta­wo­we czło­ny jak ‚12345’, ‚qwer­ty’ czy też swo­je imię, łą­czyć z in­ny­mi fra­za­mi. Marne to po­cie­sze­nie ale jed­nak ja­kiś ma­lut­ki plu­sik jest.

Z mo­ich ana­liz wy­ni­ka rów­nież, że 1281 ha­seł z ba­zy skła­da się z sa­mych cyfr, co sta­no­wi 13,73% wszyst­kich ha­seł. Ciekawe jest rów­nież to, że żad­ne ha­sło nie za­wie­ra zna­ków spe­cjal­nych, ani wiel­kich li­ter. Z tych ob­ser­wa­cji mam pew­ne prze­my­śle­nia. Najprawdopodobniej li­sta nie zo­sta­ła skom­ple­to­wa­na za po­mo­cą phi­shin­gu, ani key­log­ge­rów.  Z du­żym praw­do­po­do­bień­stwem był to wy­ciek ja­kiejś ba­zy da­nych. Bardzo moż­li­we, że to ba­za da­nych jed­ne­go z fo­rum wa­re­zo­we­go o czym mo­gła świad­czyć pier­wot­na na­zwa pli­ku. Ktoś po­ku­sił się o ła­ma­nie MD5 czy in­ne­go po­dob­ne­go al­go­ryt­mu. W związ­ku z tym w więk­szo­ści są to ba­nal­ne ha­sła, słow­ni­ko­we, bez zna­ków spe­cjal­nych w do­dat­ku czę­sto uło­żo­ne blo­ka­mi bądź al­fa­be­tycz­nie.

Tyle mo­ich ana­liz. Na ła­mach Niebezpiecznik.pl (jak tyl­ko bę­dzie do­stęp­ny z po­wro­tem po ata­ku) mo­że­cie spraw­dzić, czy Wasz ema­il i ha­sło znaj­du­je się w ba­zie, któ­ra wy­cie­kła. Jeśli jed­nak nie mo­że­cie się do­cze­kać po­wro­tu Niebezpiecznika mo­że­cie zo­sta­wić ko­men­tarz pod tym wpi­sem z swo­im ema­ilem i ocze­ki­wać mo­jej szyb­kiej od­po­wie­dzi.

Spodobał Ci się ten wpis? Podziel się nim: