Dalszy ciąg wycieku danych z Wykop.pl - Policja ustaliła sprawców...

Policja zatrzymała ludzi, którzy - jej zdaniem - są odpowiedzialni za wydobycie danych użytkowników serwisu Wykop.pl (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl). Policja twierdzi również, że "odzyskano wszystkie skradzione kopie bazy danych". W opisie działań sprawcy komunikat policji wspomina o "pokonaniu zabezpieczeń".
Aktualizacja: dodałem komentarz p. Michała Białka z serwisu Wykop.pl, którego zapytałem o kilka spraw.

Wcześniejsze doniesienia sugerowały, że baza użytkowników nie była dostatecznie zabezpieczona, co pozwoliło na jej wydobycie przez osoby trzecie (stosowny fragment loga z kanału IRC: "(...) 19:55 < mepholic> no root password on sql; 19:56 < mepholic> mepholic@abydos:~$ mysql -h 91.102.117.202 -u root; 19:56 < mepholic> Welcome to the MySQL monitor. Commands end with ; or g. (...)"). Sposób zabezpieczenia danych ma istotne znaczenie dla oceny prawnej działań sprawcy (por. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection). Jak się wydaje - z wykorzystaniem danych użytkowników serwisu Wykop.pl dokonano następnie pewnych operacji w serwisie aukcyjnym Allegro (sprawdzając, czy użytkownicy Wykop.pl mają również konto w Allegro i czy posługują się tam tymi samymi hasłami, które znaleziono po odhashowaniu haseł z bazy Wykop.pl; po przejęciu kont w serwisie Allegro sprawca - jak się wydaje - wziął udział w aukcjach, licytując w imieniu osób, których konta przejął).

W każdym razie Policja ogłosiła, że złapała sprawców (wykopowicze znaleźli go wcześniej?). Komunikat w tej sprawie opublikowano dziś na stronach wielkopolskiej Policji. W notatce zatytułowanej KWP- Ustalono hakerów, którzy skradli dane użytkowników serwisu internetowego czytamy:

Policjanci z KWP w Poznaniu ustalili osoby odpowiedzialne za włamanie na serwer komputerowy firmy wykop.pl i kradzież bazy danych ponad 100 tys. zarejestrowanych na nim użytkowników. Funkcjonariusze odzyskali i zabezpieczyli skradziony wykaz loginów i zaszyfrowanych haseł. Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia.

Administratorzy serwisu internetowego wykop.pl 20 sierpnia stwierdzili, że kilka godzin wcześniej poprzez sieć internetową nastąpił atak hakerski na ich serwer. Po pokonaniu zabezpieczeń sprawcy ukradli plik zawierający bazę danych użytkowników serwisu. W bazie znajdowały się loginy i zaszyfrowane hasła do kont internautów.

Sprawą zajęli się policyjni eksperci z Wydziału do walki z Przestępczością Gospodarczą Komendy Wojewódzkiej Policji w Poznaniu. Po analizie szczegółowych informacji przekazanych przez administratorów serwisu funkcjonariusze zajmujący się przestępczością komputerową ustalili, w jaki sposób przeprowadzili atak i włamanie na serwer. Ponadto śledczy stwierdzili, że internetowi złodzieje udostępnili skradzione dane kilku innym osobom. Dopuścili się także swoistego szantażu wobec okradzionego serwisu. Grożąc ujawnieniem całej bazy danych oczekiwali od serwisu „ciekawych propozycji”.

Wytropienie i ustalenie hakerów zajęło policjantom kilkanaście dni. Pomocna była przy tym bliska współpraca z administratorami zaatakowanego serwisu. Okazało się, że wytypowane osoby pochodzą z różnych miast. Główna trójka podejrzanych, odpowiedzialna za włamanie, to osiemnastolatek z Olsztyna i dwóch piętnastolatków z Włocławka i Braniewa. Pozostałe osoby zamieszane w sprawę to mieszkańcy Bielska Białej, Braniewa i Poznania. Podczas przeszukania mieszkań policjanci zabezpieczyli sprzęt komputerowy. Odzyskali także wszystkie skradzione kopie bazy danych. Nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone.

Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia.

PS

Na pytanie "czy władze spółki Wykop sp. z o.o. wiedzą, czy ktoś złożył przeciwko nim doniesie o możliwości popełnienia przestępstwa z art 50, 51 lub 52 ustawy o ochronie danych osobowych?" p. Michał Białek z serwisu Wykop.pl odpowiedział: "na ten moment nie uzyskałem informacji, aby takie doniesienie zostało zgłoszone". Na pytanie, jak komentujecie irocowy log, w którym można przeczytać: "no root password on sql"? uzyskałem odpowiedź: "nie komentujemy". Poprosiłem również o komentarz w sprawie wykorzystania bazy danych użytkowników "do testów", a więc w sposób, na który użytkownicy nie wyrażali wcześniej zgody, a także w sposób odmienny, niż wynika z Polityki Prywatności serwisu ("Adresów używamy tylko i wyłącznie w celu powiadamiania użytkowników o istotnych zmianach w serwisie lub komunikatach technicznych")? Na to pytanie nie otrzymałem odpowiedzi.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Ciekawe na jakim założeniu

Asen's picture

Ciekawe na jakim założeniu Policja oparła swoje przekonanie, że "odzyskano wszystkie skradzione kopie bazy danych".

to oczywiste

no jak to. skradziono jedną kopię bazy danych. Odzyskano- jedną kopię bazy danych. Stan się zgadza ;)

Pokonywanie zabezpieczeń

W relacjach z tego zajścia można było dokopać się do log-a z IRC-a, gdzie było pokazane w jaki sposób podejrzani weszli w posiadanie bazy. Skoro baza nie posiadała żadnych zabezpieczeń i była otwarta na świat bez _żadnego_ hasła na konto administratora. To jak można twierdzić, że ktokolwiek przełamał jakiekolwiek zabezpieczenia. Skoro zabezpieczeń nie było _żadnych_ to też nie można było ich przełamać.

Oczywiście szantaż, używanie uzyskanych loginów i haseł do np. dostępu na konta w serwisie Allegro to już inna bajka.

Za włamanie i kradzież

Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia.

Biorac pod uwage ze zatrzymali 2 pietnastolatkow to przydalo by sie dodac ze im za to taka kara raczej nie grozi... :)

a propos art. 267 par. 2 kk

Olgierd's picture

Nawiasem mówiąc o tych zabezpieczeniach mówią chyba z przyzwyczajenia. Art. 267 par. 2 kk pozwoli "spenalizować" sprawców bez względu na to, czy zabezpieczenia były, czy nie. I potencjalna sankcja też nie jest błaha.

--
pozdrawiam serdecznie, Olgierd

To nie do obronienia, do

To nie do obronienia, do admin wykopu nie popełnił tylko jednego błędu, a cały szereg:
1.Brak hasła roota w bazie MySQL (no comments)
2.Brak ograniczenia możliwości łączenia się z serwerem MySQL do wybranych komputerów.
3.Widoczność tego serwera w całym Internecie, czyli brak zabezpieczenia firewalla, który "zasłaniałby" odpowiednie porty na zewnątrz sieci wykopu..
To nie wymagało żadnych specjalistycznych programów służących do łamania zabezpieczeń i podsłuchiwania a jedynie komputera i wpadnięcia na pomysł, żeby połączyć z niego się z bazą danych wykopu. To świadczy o kompletnym lamerstwie, olewatorstwie albo przeciążeniu zadaniami admina. W opisanej sytuacji ten numer musiał się prędzej czy później wydarzyć.

Tu nawet nie chodzi o bronienie

Polskie prawo karne przewiduje karę za dostęp do systemu informatycznego lub jego części (w domyśle bez zgody właściciela, chociaż nie jest to jednoznacznie napisane :>). To, że administrator wykopu popełnił szereg błędów (nie zapominajmy o nieposolonych hashach z hasłami) i za to nie odpowie, to jedna sprawa. To, że odpowiedzą za to nastolatkowie, których bohatersko namierzyła Policja i odzyskała wszystkie kopie bazy danych, to druga.

bez zgody właściciela?

już ktoś o tym pisał:

Jak wrzucam dane nawet poufne (np. zdjęcia z kochanką) na serwer www i ktoś to ogląda, to może domniemywać, że ja się na to zgadzam. Jakbym się nie zgodził, to by oglądał "403 Forbidden" a nie dane.
Jak umieszczam w necie niechroniony serwer bazodanowy, z którego KAŻDY może czytać bez podania hasła to też znaczy że się zgadzam. Jakbym się nie zgodził, to by serwer żądał hasła.

Nie ma przepisu mówiącego, że ze swobodnie dostępnej usługi http mogę korzystać a mysql już nie.

Nie piszę tego, żeby sprzyjać nastolatkom. Po prostu "karę za dostęp do systemu informatycznego lub jego części" równie dobrze może ponieść ktoś kto oglądał poufne treści na swobodnie dostępnej stronie www. Najpierw należy ściśle zdefiniować, co to jest "dostęp nieuprawniony".

Jak umieszczam w necie

Jak umieszczam w necie niechroniony serwer bazodanowy, z którego KAŻDY może czytać bez podania hasła to też znaczy że się zgadzam. Jakbym się nie zgodził, to by serwer żądał hasła.

No i tak było, ale przepisy zostały zmienione. Było, kto przełamując/omijając zabezpieczenia uzyskuje dostęp ten...

A teraz CELOWO zmieniono brzmienie przepisu - nie jest konieczne ominięcie/przełamanie zabezpieczenia. Przykładowo:

Restaurator udostępnia w bezprzewodowej sieci WEWNĘTRZNE DOKUMENTY FIRMOWE

To są przykłady - ktoś udostępnia coś, czego udostępnić tak naprawdę nie chce. I w razie czego wina spada na uzyskujących dostęp.

skąd mogę wiedzieć?

Skąd mam wiedzieć, czy jak ktoś coś udostępnił, to robił to świadomie, czy "mu się udostępniło"? Czyli skąd mam wiedzieć, czy mój dostęp jest uprawniony czy nie? A co jak mi się pojawi w otoczeniu sieciowym (sieć osiedlowa) jakiś folder i nie znając się na sieci zapragnę zobaczyć co to? Windows pokazuje takie rzeczy automatycznie.
No przecież nie wisi na niechcący udostępnionym udziale etykietka "To moje prywatne, nie ruszać, sorka, ale nie wiem jak to ukryć (lub nie chce mi się tego robić)".

Chociaż jakby nazwać niezabezpieczony udział "Poufne", miałoby sens ściganie kogoś, kto z niego skopiował.

To jest glos zdrowego

To jest glos zdrowego rozsadku, ale prawo, a jeszcze bardziej decyzje i orzeczenia nie zawsze ida w parze ze zdrowym rozsadkiem i stad m.in. takie problemy...

Subsumpcja po nowelizacji, czyli czy używali przeglądarki

Maciej_Szmit's picture

A dlaczego nie artykuł 267 par 3 (i do kompletu 267 par 4) jesteśmy przecież po nowelizacji, czyż nie? Przecież posługiwali się oprogramowaniem. I pomyśleć, że słowo "specjalnym" po "oprogramowaniem" wyleciało z projektu rządowego po konsultacjach społecznych, gdzie za skreśleniem tegoż opowiedziało się ponoć PTI...

Zaraz zaraz... jeśli Vagla

Zaraz zaraz... jeśli Vagla stawia na serwerze prawo.vagla.pl na porcie 80 swoją stronę internetową (bez hasła) i ja się z nią łączę, to mój dostęp jest uprawniony, a jeśli ktoś stawia swoją bazę danych na serwerze wykop.pl na porcie XYZ (bez hasła) i ja się z nią łączę, to mój dostęp jest nieuprawniony?

A co będzie jak Vagla zmieni zdanie?

A co będzie jak Vagla zmieni zdanie? I uzna, że jednak nie chce się dzielić tym co jest w tym serwisie. Wtedy także dostęp na prawo.vagla.pl stanie się nieuprawniony...

Przydała by się jakaś umowa o prawie dostępu do strony, w końcu nigdy nie wiadomo kiedy człowiek stanie się przestępcą. Gdyby chłopak od Precious miał w ręku jakiś regulamin mówiący "korzystanie z tego co znajdzie wyszukiwarka jest uprawnione", to trudniej byłoby potem mówić o "nielegalnym pobraniu pliku".

I pamiętając o historii "Precious", a także o świeżej historii Zniewaga Romów była publiczna, bo wyciekła do internetu(okazuje się, że w prywatnej rozmowie nie można wyrażać niepoprawnych politycznie opinii) nie liczyłbym na "doświadczenie życiowe" sądu podpowiadające, że to kompletna bzdura.

Ale...

Jest jeszcze kwestia odpowiedzialności karnej administratorów Wykopu za nienależyte zabezpieczenie zbioru danych osobowych. A więc od tego czy zabezpieczenie było (w ogóle) i czy należyte wiele jednak może zależeć.

Dane osobowe? A gdzie niby w

Dane osobowe? A gdzie niby w bazie uzytkowników sa dane osobowe?

na wykopie jest pole na

na wykopie jest pole na imię i nazwisko.

Przy rejestracji nie widze,

Przy rejestracji nie widze, moze jest potem w profilu... Ale tak czy inaczej samo imie i nazwisko to jeszcze nie dane osobowe wiec dalej nie rozumiem...

Nie tylko Wykop ma problemy z kontami, MSN również

VaGla's picture

Nie tylko Wykop ma problemy z kontami, MSN również

Ukazał się tekst Thousands of Hotmail passwords leaked online, a tam czytamy:

An anonymous user posted details of the accounts on October 1 at pastebin.com, a site commonly used by developers to share code snippets. The details have since been removed but Neowin has seen part of the list posted and can confirm the accounts are genuine and most appear to be based in Europe. The list details over 10,000 accounts starting from A through to B, suggesting there could be additional lists. Currently it appears only accounts used to access Microsoft's Windows Live Hotmail have been posted, this includes @hotmail.com, @msn.com and @live.com accounts.

--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>