Informację o wycieku danych użytkowników popularnego wśród polskich ekshibicjonistów serwisu zbiornik.com nagłośniła strona niebezpiecznik.pl. Szczegóły incydentu opisane zostały w oświadczeniu administratora zbiornik.com. Pod koniec marca br. otrzymał on wiadomość, której nadawca informował, że odkrył dziurę w systemie IT i wszedł w posiadanie poufnych danych pochodzących z serwerów portalu.
"Przedstawiając siebie jako człowieka honoru, dla którego słowo i szacunek jest więcej warte niż pieniądze oznajmił nam, że dostał na nas zlecenie od konkurencji. Jednakże nie chcąc robić krzywdy ani nam, ani naszym użytkownikom przedstawił propozycję, w której dzięki kwocie 1 mln zł (płatne w bitcoinach) wskaże nam ową lukę jak również nie będzie go już kusiło aby wykorzystać posiadane dane poza naszymi plecami" - czytamy w przywołanym oświadczeniu.
Pomyśleć, iż dotychczas administrator zhakowanego serwisu erotyczno-schadzkowego ograniczał się do zamieszczenia w zakładce z informacją o polityce prywatności wzmianki z zapewnieniem, że "Zbiornik podejmuje odpowiednie środki ostrożności, aby chronić informacje użytkowników. Informacje o Twoim koncie są umieszczone na bezpiecznym serwerze znajdującym się za zaporą ogniową".
Po analizie logów okazało się, że faktycznie część bazy danych została skopiowana. "Nic nie wskazywało na to, że cracker zdołał złamać zabezpieczenia serwerowe, więc założyliśmy, że dziura jest w samym skrypcie starego zbiornika, przez co udało mu się dostać do jednej z baz danych.
Niemniej podjęliśmy szereg działań mających na celu dodatkowe zabezpieczenie serwerów oraz łatanie wszelkich potencjalnych luk. Po dwóch dniach prac byliśmy przekonani, że nam się udało.
Postanowiliśmy więc sprawdzić, czy nasze zabezpieczenia okazały się skuteczne.
Odpisaliśmy, iż jesteśmy w stanie zapłacić i prosimy o podanie adresu konta (bitcoin), jednakże wymogiem jest podanie aktualnych danych dostępowych do bazy danych, które upewnią nas, że luka, za wskazanie której mamy zapłacić, nadal istnieje.
Dostaliśmy odpowiedź wraz z adresem bitcoin umożliwiającym wpłatę okupu wraz z odmową podania aktualnych danych dostępowych, co utwierdziło nas w przekonaniu, że nasze działania przyniosły odpowiedni skutek" - relacjonuje administrator zbiornik.com.
Zapewnia, że w związku z incydentem wprowadził dodatkowe wymogi dotyczące haseł i wymusił ich zmianę na wszystkich użytkownikach serwisu. Nowe hasła - jak twierdzi - są już w pełni zabezpieczone przez hasz bcrypt z losową solą.
Administrator erotyczno-schadzkowego serwisu przyznaje się do niskiej jakości używanego od dawna lat kodu, który określił jako "zlepek prac różnej masy programistów, którzy przewinęli się przez zbiornik na przestrzeni ostatniej dekady". Utrzymuje, że już "kilka miesięcy temu powołany został nowy zespół odpowiedzialny za przepisanie całego zbiornika od podstaw, przy zachowaniu najwyższych standardów bezpieczeństwa".
Swym użytkownikom, którzy posługiwali się jednym hasłem "do wszystkiego" zaleca teraz jego zmianę, w szczególności w skrzynkach pocztowych. Ofiarom szantażu zaś radzi skontaktować się z policją, dla której przygotował jakoby pełny raport z incydentu, który ma pomóc w ustaleniu tożsamości cyberprzestępcy. Do ujawnienia jego danych zachętą ma być wyznaczona nagroda wysokości 10 tys. zł.
Wygląda na to, że właściciel serwisu, który chełpi się posiadaniem 892 233 użytkowników i imponującej liczby zamieszczonych przez nich zdjęć (1 838 542) czy filmów (brak bliższych danych) o tematyce erotycznej, zrozumiał, iż dla jego biznesu nadszedł czas próby i albo wyjdzie on z niego obronną ręką albo jego klienci przerażeni widmem kompromitacji i wstydu uciekną likwidując swoje konta.
Tak zapewne należy rozumieć zapowiedź przeprowadzenia dodatkowego, kompleksowego audytu przez zewnętrzną firmę czy obietnica bliżej nieokreślonych nagród za pomoc w odnajdywaniu luk w oprogramowaniu.
Pomyśleć tylko, iż dotychczas administrator zhakowanego serwisu erotyczno-schadzkowego ograniczał się do zamieszczenia w zakładce z informacją o polityce prywatności wzmianki z zapewnieniem, że "Zbiornik podejmuje odpowiednie środki ostrożności, aby chronić informacje użytkowników. Informacje o Twoim koncie są umieszczone na bezpiecznym serwerze znajdującym się za zaporą ogniową".
Jak donosi niebezpiecznik.pl, od użytkowników zbiornik.com już wymuszane są okupy za nieujawnianie danych; poszczególni posiadacze kont na portalu mają być rzekomo szantażowani groźbą ujawnienia kompromitujących ich materiałów o tematyce erotycznej osobom trzecim.
O tym, że cyberprzestępcy liczą na szybki zysk, świadczy specjalnie założona strona zbiornik.pw, na której znaleźć można komunikat następującej treści: "Wszystkie dane, rozmowy oraz zdjęcia zostały skopiowane z Twoich kont oraz maila. Jeżeli nie chcesz, aby rodzina, wszyscy bliscy oraz znajomi zobaczyli zdjęcia oraz pozostałe materiały i dowiedzieli się o tym, co robisz, masz 24 godziny na zapłacenie mi 500 zł i już nigdy się do Ciebie nie odezwę zapominając o całej sprawie. Jeżeli tego nie zrobisz, po upływie 24 godzin publikuję oraz wysyłam to rodzinie i wszystkim znajomym. Jeżeli komuś o tym powiesz i nie zostawisz między nami, również opublikuję dane".
Pod tym ostrzeżeniem cyberszantażysta zamieścił formularz płatności https://inpay.pl/buy/
- Szantażysta postanowił wykorzystać naszą usługę bez naszej wiedzy i zgody. Mógł zasugerować dowolny inny kantor umożliwiający zakup bitcoinów - rozkłada ręce Lech Wilczyński, współzałożyciel i prezes spółki InPay, która jest właścicielem formularza płatności wykorzystanego przez cyberprzestępcę.