Dalszy ciąg wycieku danych z Wykop.pl - Policja ustaliła sprawców...
Policja zatrzymała ludzi, którzy - jej zdaniem - są odpowiedzialni za wydobycie danych użytkowników serwisu Wykop.pl (por. Warto mieć różne hasła w różnych serwisach (społecznościowych) czyli wyciek danych z Wykop.pl). Policja twierdzi również, że "odzyskano wszystkie skradzione kopie bazy danych". W opisie działań sprawcy komunikat policji wspomina o "pokonaniu zabezpieczeń".
Aktualizacja: dodałem komentarz p. Michała Białka z serwisu Wykop.pl, którego zapytałem o kilka spraw.
Wcześniejsze doniesienia sugerowały, że baza użytkowników nie była dostatecznie zabezpieczona, co pozwoliło na jej wydobycie przez osoby trzecie (stosowny fragment loga z kanału IRC: "(...) 19:55 < mepholic> no root password on sql; 19:56 < mepholic> mepholic@abydos:~$ mysql -h 91.102.117.202 -u root; 19:56 < mepholic> Welcome to the MySQL monitor. Commands end with ; or g. (...)"). Sposób zabezpieczenia danych ma istotne znaczenie dla oceny prawnej działań sprawcy (por. "Nie można przełamać czegoś, co nie istnieje" - polski wyrok w sprawie SQL Injection). Jak się wydaje - z wykorzystaniem danych użytkowników serwisu Wykop.pl dokonano następnie pewnych operacji w serwisie aukcyjnym Allegro (sprawdzając, czy użytkownicy Wykop.pl mają również konto w Allegro i czy posługują się tam tymi samymi hasłami, które znaleziono po odhashowaniu haseł z bazy Wykop.pl; po przejęciu kont w serwisie Allegro sprawca - jak się wydaje - wziął udział w aukcjach, licytując w imieniu osób, których konta przejął).
W każdym razie Policja ogłosiła, że złapała sprawców (wykopowicze znaleźli go wcześniej?). Komunikat w tej sprawie opublikowano dziś na stronach wielkopolskiej Policji. W notatce zatytułowanej KWP- Ustalono hakerów, którzy skradli dane użytkowników serwisu internetowego czytamy:
Policjanci z KWP w Poznaniu ustalili osoby odpowiedzialne za włamanie na serwer komputerowy firmy wykop.pl i kradzież bazy danych ponad 100 tys. zarejestrowanych na nim użytkowników. Funkcjonariusze odzyskali i zabezpieczyli skradziony wykaz loginów i zaszyfrowanych haseł. Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia.
Administratorzy serwisu internetowego wykop.pl 20 sierpnia stwierdzili, że kilka godzin wcześniej poprzez sieć internetową nastąpił atak hakerski na ich serwer. Po pokonaniu zabezpieczeń sprawcy ukradli plik zawierający bazę danych użytkowników serwisu. W bazie znajdowały się loginy i zaszyfrowane hasła do kont internautów.
Sprawą zajęli się policyjni eksperci z Wydziału do walki z Przestępczością Gospodarczą Komendy Wojewódzkiej Policji w Poznaniu. Po analizie szczegółowych informacji przekazanych przez administratorów serwisu funkcjonariusze zajmujący się przestępczością komputerową ustalili, w jaki sposób przeprowadzili atak i włamanie na serwer. Ponadto śledczy stwierdzili, że internetowi złodzieje udostępnili skradzione dane kilku innym osobom. Dopuścili się także swoistego szantażu wobec okradzionego serwisu. Grożąc ujawnieniem całej bazy danych oczekiwali od serwisu „ciekawych propozycji”.
Wytropienie i ustalenie hakerów zajęło policjantom kilkanaście dni. Pomocna była przy tym bliska współpraca z administratorami zaatakowanego serwisu. Okazało się, że wytypowane osoby pochodzą z różnych miast. Główna trójka podejrzanych, odpowiedzialna za włamanie, to osiemnastolatek z Olsztyna i dwóch piętnastolatków z Włocławka i Braniewa. Pozostałe osoby zamieszane w sprawę to mieszkańcy Bielska Białej, Braniewa i Poznania. Podczas przeszukania mieszkań policjanci zabezpieczyli sprzęt komputerowy. Odzyskali także wszystkie skradzione kopie bazy danych. Nie ma żadnych wiarygodnych informacji, że obecnie dane użytkowników są w jakikolwiek sposób zagrożone.
Za włamanie i kradzież danych informatycznych oraz zakłócenie działania baz danych grozi kara do 3 lat więzienia.
PS
Na pytanie "czy władze spółki Wykop sp. z o.o. wiedzą, czy ktoś złożył przeciwko nim doniesie o możliwości popełnienia przestępstwa z art 50, 51 lub 52 ustawy o ochronie danych osobowych?" p. Michał Białek z serwisu Wykop.pl odpowiedział: "na ten moment nie uzyskałem informacji, aby takie doniesienie zostało zgłoszone". Na pytanie, jak komentujecie irocowy log, w którym można przeczytać: "no root password on sql"? uzyskałem odpowiedź: "nie komentujemy". Poprosiłem również o komentarz w sprawie wykorzystania bazy danych użytkowników "do testów", a więc w sposób, na który użytkownicy nie wyrażali wcześniej zgody, a także w sposób odmienny, niż wynika z Polityki Prywatności serwisu ("Adresów używamy tylko i wyłącznie w celu powiadamiania użytkowników o istotnych zmianach w serwisie lub komunikatach technicznych")? Na to pytanie nie otrzymałem odpowiedzi.
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Ciekawe na jakim założeniu
Ciekawe na jakim założeniu Policja oparła swoje przekonanie, że "odzyskano wszystkie skradzione kopie bazy danych".
to oczywiste
no jak to. skradziono jedną kopię bazy danych. Odzyskano- jedną kopię bazy danych. Stan się zgadza ;)
Pokonywanie zabezpieczeń
W relacjach z tego zajścia można było dokopać się do log-a z IRC-a, gdzie było pokazane w jaki sposób podejrzani weszli w posiadanie bazy. Skoro baza nie posiadała żadnych zabezpieczeń i była otwarta na świat bez _żadnego_ hasła na konto administratora. To jak można twierdzić, że ktokolwiek przełamał jakiekolwiek zabezpieczenia. Skoro zabezpieczeń nie było _żadnych_ to też nie można było ich przełamać.
Oczywiście szantaż, używanie uzyskanych loginów i haseł do np. dostępu na konta w serwisie Allegro to już inna bajka.
Za włamanie i kradzież
Biorac pod uwage ze zatrzymali 2 pietnastolatkow to przydalo by sie dodac ze im za to taka kara raczej nie grozi... :)
a propos art. 267 par. 2 kk
Nawiasem mówiąc o tych zabezpieczeniach mówią chyba z przyzwyczajenia. Art. 267 par. 2 kk pozwoli "spenalizować" sprawców bez względu na to, czy zabezpieczenia były, czy nie. I potencjalna sankcja też nie jest błaha.
--
pozdrawiam serdecznie, Olgierd
To nie do obronienia, do
To nie do obronienia, do admin wykopu nie popełnił tylko jednego błędu, a cały szereg:
1.Brak hasła roota w bazie MySQL (no comments)
2.Brak ograniczenia możliwości łączenia się z serwerem MySQL do wybranych komputerów.
3.Widoczność tego serwera w całym Internecie, czyli brak zabezpieczenia firewalla, który "zasłaniałby" odpowiednie porty na zewnątrz sieci wykopu..
To nie wymagało żadnych specjalistycznych programów służących do łamania zabezpieczeń i podsłuchiwania a jedynie komputera i wpadnięcia na pomysł, żeby połączyć z niego się z bazą danych wykopu. To świadczy o kompletnym lamerstwie, olewatorstwie albo przeciążeniu zadaniami admina. W opisanej sytuacji ten numer musiał się prędzej czy później wydarzyć.
Tu nawet nie chodzi o bronienie
Polskie prawo karne przewiduje karę za dostęp do systemu informatycznego lub jego części (w domyśle bez zgody właściciela, chociaż nie jest to jednoznacznie napisane :>). To, że administrator wykopu popełnił szereg błędów (nie zapominajmy o nieposolonych hashach z hasłami) i za to nie odpowie, to jedna sprawa. To, że odpowiedzą za to nastolatkowie, których bohatersko namierzyła Policja i odzyskała wszystkie kopie bazy danych, to druga.
bez zgody właściciela?
już ktoś o tym pisał:
Jak wrzucam dane nawet poufne (np. zdjęcia z kochanką) na serwer www i ktoś to ogląda, to może domniemywać, że ja się na to zgadzam. Jakbym się nie zgodził, to by oglądał "403 Forbidden" a nie dane.
Jak umieszczam w necie niechroniony serwer bazodanowy, z którego KAŻDY może czytać bez podania hasła to też znaczy że się zgadzam. Jakbym się nie zgodził, to by serwer żądał hasła.
Nie ma przepisu mówiącego, że ze swobodnie dostępnej usługi http mogę korzystać a mysql już nie.
Nie piszę tego, żeby sprzyjać nastolatkom. Po prostu "karę za dostęp do systemu informatycznego lub jego części" równie dobrze może ponieść ktoś kto oglądał poufne treści na swobodnie dostępnej stronie www. Najpierw należy ściśle zdefiniować, co to jest "dostęp nieuprawniony".
Jak umieszczam w necie
No i tak było, ale przepisy zostały zmienione. Było, kto przełamując/omijając zabezpieczenia uzyskuje dostęp ten...
A teraz CELOWO zmieniono brzmienie przepisu - nie jest konieczne ominięcie/przełamanie zabezpieczenia. Przykładowo:
Restaurator udostępnia w bezprzewodowej sieci WEWNĘTRZNE DOKUMENTY FIRMOWE
To są przykłady - ktoś udostępnia coś, czego udostępnić tak naprawdę nie chce. I w razie czego wina spada na uzyskujących dostęp.
skąd mogę wiedzieć?
Skąd mam wiedzieć, czy jak ktoś coś udostępnił, to robił to świadomie, czy "mu się udostępniło"? Czyli skąd mam wiedzieć, czy mój dostęp jest uprawniony czy nie? A co jak mi się pojawi w otoczeniu sieciowym (sieć osiedlowa) jakiś folder i nie znając się na sieci zapragnę zobaczyć co to? Windows pokazuje takie rzeczy automatycznie.
No przecież nie wisi na niechcący udostępnionym udziale etykietka "To moje prywatne, nie ruszać, sorka, ale nie wiem jak to ukryć (lub nie chce mi się tego robić)".
Chociaż jakby nazwać niezabezpieczony udział "Poufne", miałoby sens ściganie kogoś, kto z niego skopiował.
To jest glos zdrowego
To jest glos zdrowego rozsadku, ale prawo, a jeszcze bardziej decyzje i orzeczenia nie zawsze ida w parze ze zdrowym rozsadkiem i stad m.in. takie problemy...
Subsumpcja po nowelizacji, czyli czy używali przeglądarki
A dlaczego nie artykuł 267 par 3 (i do kompletu 267 par 4) jesteśmy przecież po nowelizacji, czyż nie? Przecież posługiwali się oprogramowaniem. I pomyśleć, że słowo "specjalnym" po "oprogramowaniem" wyleciało z projektu rządowego po konsultacjach społecznych, gdzie za skreśleniem tegoż opowiedziało się ponoć PTI...
Zaraz zaraz... jeśli Vagla
Zaraz zaraz... jeśli Vagla stawia na serwerze prawo.vagla.pl na porcie 80 swoją stronę internetową (bez hasła) i ja się z nią łączę, to mój dostęp jest uprawniony, a jeśli ktoś stawia swoją bazę danych na serwerze wykop.pl na porcie XYZ (bez hasła) i ja się z nią łączę, to mój dostęp jest nieuprawniony?
A co będzie jak Vagla zmieni zdanie?
A co będzie jak Vagla zmieni zdanie? I uzna, że jednak nie chce się dzielić tym co jest w tym serwisie. Wtedy także dostęp na prawo.vagla.pl stanie się nieuprawniony...
Przydała by się jakaś umowa o prawie dostępu do strony, w końcu nigdy nie wiadomo kiedy człowiek stanie się przestępcą. Gdyby chłopak od Precious miał w ręku jakiś regulamin mówiący "korzystanie z tego co znajdzie wyszukiwarka jest uprawnione", to trudniej byłoby potem mówić o "nielegalnym pobraniu pliku".
I pamiętając o historii "Precious", a także o świeżej historii Zniewaga Romów była publiczna, bo wyciekła do internetu(okazuje się, że w prywatnej rozmowie nie można wyrażać niepoprawnych politycznie opinii) nie liczyłbym na "doświadczenie życiowe" sądu podpowiadające, że to kompletna bzdura.
Ale...
Jest jeszcze kwestia odpowiedzialności karnej administratorów Wykopu za nienależyte zabezpieczenie zbioru danych osobowych. A więc od tego czy zabezpieczenie było (w ogóle) i czy należyte wiele jednak może zależeć.
Dane osobowe? A gdzie niby w
Dane osobowe? A gdzie niby w bazie uzytkowników sa dane osobowe?
na wykopie jest pole na
na wykopie jest pole na imię i nazwisko.
Przy rejestracji nie widze,
Przy rejestracji nie widze, moze jest potem w profilu... Ale tak czy inaczej samo imie i nazwisko to jeszcze nie dane osobowe wiec dalej nie rozumiem...
Nie tylko Wykop ma problemy z kontami, MSN również
Nie tylko Wykop ma problemy z kontami, MSN również
Ukazał się tekst Thousands of Hotmail passwords leaked online, a tam czytamy:
--
[VaGla] Vigilant Android Generated for Logical Assassination