Skradziono dane użytkowników serwisu Zbiornik.com

W pełnym oświadczeniu, opublikowanym w serwisie (prezentujemy je na dole materiału), właściciele serwisu przedstawiają historię hakera, który rzekomo dostał "zlecenie" od ich konkurencji. Cel był prosty - znaleźć lukę w bezpieczeństwie serwisu i wykraść dane użytkowników. Cyberprzestępca rzekomo ją znalazł i zażądał okupu (1 000 000 zł) za porzucenie dalszych działań. Właściciele serwisu twierdzą, że zlokalizowali i załatali lukę, przy okazji zmieniając wiele zabezpieczeń w serwisie na nowsze rozwiązania.

Jak się jednak miało okazać, część danych użytkowników została już skopiowana (nie podano konkretnej liczby).  Teraz, jak wynika z informacji podanych przez Niebezpiecznik.pl, niektórzy z użytkowników dostają maile z próbą wyłudzenia pieniędzy w zamian za nieupublicznienie ich danych, zdjęć i korespondencji z serwisu. Założyciele platformy z ogłoszeniami zalecają takim osobom kontakt z policją.  Jednocześnie wyznaczyli nagrodę wysokości 10 000 zł za identyfikację sprawcy.

Pełna treść komunikatu założycieli serwisu:

"Włamanie

Pod koniec marca otrzymaliśmy wiadomość, w której autor poinformował nas, że odkrył dziurę w systemie i jest w posiadaniu poufnych danych pochodzących z naszych serwerów.

Przedstawiając siebie jako człowieka honoru, dla którego słowo i szacunek jest więcej warte niż pieniądze oznajmił nam, że dostał “na nas" zlecenie od konkurencji. Jednakże nie chcąc robić krzywdy ani nam, ani naszym użytkownikom przedstawił propozycję, w której dzięki kwocie 1 000 000 PLN (płatne w bitcoinach) wskaże nam ową lukę jak również nie będzie go już “kusiło" aby wykorzystać posiadane dane “poza naszymi plecami".

Niestety, po analizie logów okazało się, że faktycznie część bazy danych została skopiowana. Nic nie wskazywało na to, że cracker zdołał złamać zabezpieczenia serwerowe, więc założyliśmy, że dziura jest w samym skrypcie starego zbiornika, przez co udało mu się dostać do jednej z baz danych.

Niemniej podjęliśmy szereg działań mających na celu dodatkowe zabezpieczenie serwerów oraz łatanie wszelkich potencjalnych luk. Po dwóch dniach prac byliśmy przekonani, że nam się udało.

Postanowiliśmy więc sprawdzić, czy nasze zabezpieczenia okazały się skuteczne. Odpisaliśmy, iż jesteśmy w stanie zapłacić i prosimy o podanie adresu konta (bitcoin), jednakże wymogiem jest podanie aktualnych danych dostępowych do bazy danych, które upewnią nas, że luka, za wskazanie której mamy zapłacić nadal istnieje.

Dostaliśmy odpowiedź wraz z adresem bitcoin umożliwiającym wpłatę okupu wraz z odmową podania aktualnych danych dostępowych, co utwierdziło nas w przekonaniu, że nasze działania przyniosły odpowiedni skutek.

Mając tą świadomość wprowadziliśmy dodatkowe wymogi dotyczące haseł oraz wymusiliśmy ich zmianę wszystkim użytkownikom. Nowe hasła są już w pełni zabezpieczone przez hasz bcrypt z losową solą.

Gorzka chwila prawdyTak, mieliśmy świadomość, że jakość kodu starego zbiornika nie jest najwyższych lotów. Jest to zlepek prac różnej maści programistów, którzy przewinęli się przez zbiornik na przestrzeni ostatniej dekady. Dlatego też kilka miesięcy temu powołany został nowy zespół odpowiedzialny za przepisanie całego zbiornika od podstaw, przy zachowaniu najwyższych standardów bezpieczeństwa.

Z naszej strony chcielibyśmy szczerze przeprosić wszystkich naszych użytkowników, mając jednocześnie nadzieję na “drugą szansę". Nasza wina jest bezsporna.

Co teraz Wszystkim użytkownikom, którzy posługiwali się jednym hasłem “do wszystkiego" zalecamy jego zmianę. W szczególności w skrzynkach pocztowych. Jeśli ktokolwiek padnie ofiarą szantażu zalecamy zgłosić sprawę na policję. My dla policji mamy już pełny raport, który mamy nadzieję pomoże w ustaleniu tożsamości złodzieja. Oferujemy także 10 000 zł nagrody za ujawnienie danych tego człowieka.

Co dalej

Przeprowadzimy dodatkowy, kompleksowy audyt przez zewnętrzną firmę. Wzorem największych firm zaoferujemy system nagród za pomoc w odnajdywaniu luk w oprogramowaniu".