Zpráva, která se zobrazila při přihlášení do STEAMu a která se zobrazuje také na fórech STEAMu:

Dear Steam Users and Steam Forum Users:

Our Steam forums were defaced on the evening of Sunday, November 6. We began investigating and found that the intrusion goes beyond the Steam forums.

We learned that intruders obtained access to a Steam database in addition to the forums. This database contained information including user names, hashed and salted passwords, game purchases, email addresses, billing addresses and encrypted credit card information. We do not have evidence that encrypted credit card numbers or personally identifying information were taken by the intruders, or that the protection on credit card numbers or passwords was cracked. We are still investigating.

We don’t have evidence of credit card misuse at this time. Nonetheless you should watch your credit card activity and statements closely.

While we only know of a few forum accounts that have been compromised, all forum users will be required to change their passwords the next time they login. If you have used your Steam forum password on other accounts you should change those passwords as well.

We do not know of any compromised Steam accounts, so we are not planning to force a change of Steam account passwords (which are separate from forum passwords). However, it wouldn’t be a bad idea to change that as well, especially if it is the same as your Steam forum account password.

We will reopen the forums as soon as we can.

I am truly sorry this happened, and I apologize for the inconvenience.

Gabe.

Jak si zde můžete přečíst jedná se o to, že neznámí útočníci se nabourali do databází STEAMu a povedlo se jim odcizit osobní údaje registrovaných uživatelů. Jedná se o jména, hashe hesel, provedené obchody, e-mailové adresy, fakturační adresy a šifrovaná čísla karet.

Dále se zde píše, že zatím nebylo nahlášeno žádné zneužití platebních karet, nicméně všichni uživatelé registrovaní na STEAM fóru si musí povinně změnit heslo a změna hesla se doporučuje i u samotného přihlašování do klienta (i když zde k úniku nedošlo).

Tato zpráva mě zpočátku znepokojovala, ale když si to přeberu a vzpomenu si, že jsem všechny hry platil přes PayPal, zase tolik citlivých údajů o mě neuniklo. Neříkám, že mi to nevadí, nicméně mohl jsem dopadnout hůře.

Co si o tom myslíte?

Očekával jsem sice, že záloha bude něco jako obraz nebo výcuc z databáze který půjde jednoduše naimportovat jinam, ovšem realita je taková, že se Sblog uloží jako jednotlivé .html stránky, kde každá stránka = 1 příspěvek. Sice mě to překvapilo, ale to je teď jedno, tím se zabývat nechci ….

Vraťme se zpět k té záloze. Na úvodní stránce Sblog.cz je odkaz na zálohu blogu (screen níže). Odkaz ale obsahuje jednu zásadní chybu! Uživateli totiž není omezen pouze na jeho blog, ale je zcela bez kontroly! To znamená, že si můžete stáhnout obraz jakéhokoliv blogu!

Pokud si najedeme na detail onoho odkazu, zjistíme, že odkaz vypadá následovně:

http://blog.lide.cz/blog.fcgi?akce=backup&forceGenerate&userName=UZIVATEL

Nyní stačí UZIVATEL přepsat na nick daného uživatele Sblogu a můžete si vesele stáhnout obraz jeho blogu.

Jak zjistit uživatelské jméno blogu?

Jednoduše z URL daného blogu. Pokud si tedy otevřeme blog, který má následující URL:

http://blue.claire.sblog.cz/

Tak uživatelské jméno bude blue.claire

Takže všem přeji veselé stahování! Samozřejmě spolu s vydáním tohoto článku byla upozorněna také podpora Sblog.cz

Co je to Dropbox?

Abych nemusel vymýšlet a snažit se poutavě sepisovat to, co už za mě udělali jiní, vypůjčím si úryvek z tohoto článku ze serveru Root.cz

DropBox je služba, která dovoluje synchronizovat soubory mezi více počítači. Funguje to tak, že nainstalujete software, který udržuje jeden adresář (i s podadresáři) na vašem disku synchronizovaný proti serveru. Takto připojených počítačů může existovat více a všechny mají v onom adresáři stejná data. Pokud je některý počítač odpojený od internetu, můžete s daty lokálně pracovat a jakmile se připojíte, opět se změny projeví u vás i na serveru.

Při registraci do systému dostanete ZDARMA 2Gb diskového prostoru, na které můžete nahrát libovolný obsah (fotky, programy, hry, dokumenty, videa, filmy a já nevím, co ještě). Pokud Vám tato kapacita nedostačuje, můžete si:

1. Připlatit několik desítek dolarů a koupit si 50Gb nebo dokonce až 100Gb prostoru
2. Pozvat nějaké lidi, přičemž za každého, kdo pozvánků příjme dostanete ZADARMO 250Mb diskového prostoru navíc. Platí až do výše 8Gb

My samozřejmě využijeme druhou variantu. Abyste ale nemuseli odkaz rozesílat známým a hledat lidi, kteří se přes Vás zaregistrují, můžeme si tyto referály (jak se pozvaným lidem říká) „naklikat“ sami.

Jak na to?

Takže, budete potřebovat následující vybavení:

1. Účet v systému Dropbox – založit zde
2. Microsoft Virtual PC – stáhnout zde
3. Libovolný image systému Windows XP (doporučuji soubor úplně dole – Windows XP IE6) – stáhnout zde

Pokud už všechny věci máte stažené, můžeme pokračovat.

Nyní nainstalujte Microsoft Virtual PC. Nikde se Vám neobjeví ikonka programu, ta se objeví pouze ve Startu, odkud lze program spustit. Pokud ji tam nemáte, restartujte počítač. Nyní spusťte samorozbalovací archív s Vaším image obrazem Windows XP. Dostanete .vhd soubor o velikosti několika Gb.

Zapněte Virtual PC -> Vytvořte nový virtuální počítač (pokud možno, zvolte více RAM paměti, než Vám program nabízí, práce bude rychlejší) -> Jako virtuální HDD zvolte onen .vhd soubor -> Zaškrtněte políčko POVOLIT DISKY PRO VRACENÍ ZMĚN - toto je důležité! Nyní máte vytvořen virtuální počítač, tak jej spusťte.

Mezitím si ze svého účtu na Dropbox odešlete několik pozvánek na e-maily. E-maily si můžete vymyslet, nebudete se do nich muset přihlašovat, ani s nimi dále pracovat, takže klidně pozvánku můžete poslat na e-mail (ab@zu.cz). Doporučuji volit co nejkratší názvy, aby se Vám potom dobře opisovaly.

Až najede Virtuální počítač, spusťte Internet Explorer a přejděte na adresu www.dropbox.com, stáhněte program a nainstalujte jej. Po instalaci se objeví nabídka -> zvolte, že ještě nemáte účet -> tady si klidně všechny údaje vymyslete, jen e-mail zadejte nějaký, na který jste posílali pozvánku -> Dokončit

A je to! Nyní máte prvního referála a prvních 250Mb prostoru úplně zadarmo! Pokud jste pracovali efektivně tak Vám tato operace nezabrala více, než 2-3 minutky. Takto postup opakujte, dokud nebudete mít z referálů 8Gb (celkově 10Gb na účtu) Zde ještě screen, že to funguje:

Po kliknutí se obrázek zvětší

Pokud Vám něco není jasné, něco nejde a nebo máte jiný tip, klidně jej můžete napsat do komentářů. Za zpětnou reakci budu vděčný.

První dohady mluví o tom, že Xhosting byl hacknut cca kolem 01:30 ranní (což je cca před půl hoďkou). Pachatel je neznámý, pouze na webu (screen níže) se podepsal jako „GHoST61″.

Weby některých zákazníků jsou také v tuto dobu mimo provoz. Bližší informace přinese až čas …

Na známém českém fóru – Webtrh.cz vzniklo také vlákno, kde se můžete k tomuto tématu vyjádřit – ZDE.

Oficiální vyjádření firmy Xhosting:

Vyjádření o hacknutí webhostingu Xhosting.cz
Dobrý den,

dnes, v ranních hodinách, došlo k napadení webhostingu Xhosting.cz neznámým pachatelem.
Hacker využil jedné bezpečnostní chyby a přepsal titulní stránky webů. Tato chyba byla ihned opravena a náš tým obnovuje data ze záloh.

Za způsobené problémy se velice omlouváme, prosíme Vás o shovívavost a budeme Vás informovat o dalších postupech při řešení tohoto problému.

Vzpomněl jsem si, že na mém oblíbeném portálu o bezpečnosti – SOOM.cz byla na začátku tohoto týdne vyhlášena poměrně zajímavá soutěž nesoucí název „Hackni SOOM.cz a vyhraj!“. Jak již název napovídá, jedná se o to, že komu se podaří hacknout web SOOM.cz, stane se majitelem nového USB Wi-Fi adaptér TP-LINK TL-WN727N.

Koukal jsem do BugTracku k danému článku a soutěž se nám pěkně rozjela. Ze začátku se podařilo někomu objevit chybu v podobě nezabezpečeného XSS. Ovšem o několik dní později už se jednomu hackerovi podařilo vylámat heslo k databázi SOOMu a na důkaz toho, že se opravdu do databáze dostal změnil titulek článku (ten byl samozřejmě administrátorem opraven zpět na ten původní).

Možná se vám to nezdá zas tak převratné, ovšem znepokojující je, že útočník web hacknul nikoliv kvůli chybě v kódu redakčního systému SOOMu, nýbrž kvůli chybě, kterou obsahuje samotný webhosting – již zmiňovaný Xhosting.

Zde cituji malý úryvek ze zmiňovaného BackTracku

drakko
Hoci som uz na prelomenie soom.cz kaslal, aj tak mi to nedalo.
nasiel som chybu, ktora mi umoznila precitat php zdrojaky soom.cz
dolezity je fajl base.php, no a DB hesla su zakodovane v seo.php pomocou bcompileru v0.22s

tiutin
jen pro zajimavost, jedna o chybu webhostingu nebo redakcniho systemu?

Emkei
pres hosting, jak jinak =)

tiutin
A nejake blizsi info nebude?:)

Emkei
drakko pouzil verejne dostupny exploit pro PHP funkci symlink(), zatim tedy vede, kazdopadne jak uz jsem jednou psal, radeji bych videl utoky na redakcni system SOOMu nez samotny server.

drakko
kedze si to uz zverejnil, predpokladam, ze bol bug odstraneny.

Emkei
nebyl =) ale predpokladam, ze by si technicka podpora xhostingu mohla najit tenhle rok cas a patchnout to, upozorneni na to byli…

Takže jak můžete sami číst, web byl opravdu hacknut přes samotný webhosting a co je ještě více znepokojující, zmiňovaný bug doposud nebyl opraven!

Detailnější informace můžete nalézt zde:

BugTrack k článku „Hackni SOOM.cz a vyhraj!“

Co si o tom myslíte? A u jakého hostingu hostujete vy?

Cituji úryvek z článku, který vyšel na serveru Novinky.cz

Najdete skryté uživatele
Složka obsahuje jména Facebook účtů a přesné webové adresy jednotlivých Facebook profilů. Na nich je možné najít adresy, data narození či telefonní čísla uživatelů. Tito lidé však své soukromí nikterak výrazně nechránili.

Pro provozovatele sítě je daleko nepříjemnější fakt, že ze stránky uživatele můžete zobrazit celý list jeho přátel. Tam je pak možné najít i uživatele, kteří si v bezpečnostním nastavení Facebook určili, že chtějí být pro cizí uživatele nevyhledatelní.

Celý článek zde

Osobně se mi podařilo k těmto datům dostat (vyhledání byla otázka asi 2 minut) a na vlastní oči jsem se mohl přesvědčit o tom, co vlastně všecko na internet uniklo. Stažená 2,8Gb složka se po dekomprimaci rozrostla až na úctyhodných 16,3Gb. Obsahuje několik textových dokumentů a samotné skripty, pomocí kterých byla data zkopírována a zkompletována.

Všechny soubory jsem prošel, ale ani jeden z nich neukrývá žádná citlivá, dokonce ani osobní data uživatelů. V souborech se nacházejí pouze jména, příjmení a v největším souboru, který má cca 10Gb se nachází odkazy na profily jednotlivých uživatelů.

Ze zvědavosti jsem pár profilů otevřel, zde se objeví pouze jméno uživatele, profilová fotka, několik přátel a možnost zaslat dotyčnému zprávu, či si jej přidat do svých přátel. Je ovšem pravda, že pokud uděláte pár kliků navíc, můžete se hladce dostat až na samotný profil uživatele.

Zde ovšem naleznete pouze taková data, jaká uživatel chce sám zveřejnit, to znamená, že u většiny uživatelů se stejně nic převratného nedozvíte.

Jsem tedy nucen konstatovat, že media opět nafoukla tento čin do obrovských rozměrů a zbytečně tak šíří poplašné zprávy. Na internet sice unikla data, ale nejedná se v podstatě o nic nelegálního. Veškerá tato data lze vyčíst přímo ze samotného Facebook (stačí použít vyhledávání).

P.S: data jsem smazal a návod na jejich stažení ani podobné věci poskytovat nebudu, děkuji.

Na Facebooku se mi podařilo naleznout další aplikaci, kterou lze velmi snadno hacknout. Tentokrát se nejedná ani tak o chybu v zabezpečení jako spíš o chybu samotného autora. Ten si možná při vytváření aplikace této zásadní chyby nevšiml, nebo se mu ji už nechtělo opravovat. Ať tak či tak, dá se této chyby velice snadno zneužít.

Nejprve by bylo možná dobré si trošku přiblížit, o jakou aplikaci se jedná. Tak jedná se o Facebook „hru“ ve které máte za úkol co nejvícekrát klknout myší během 30ti vteřinového intervalu. Za každé kliknutí dostanete 1 bod.

O úspěšný hack podobné hry jsem se pokusil v minulém článku.

Dnes to ovšem bude o dost jednodušší. Nepotřebujete žádný debugger a ani jiné podobné programy. Vlastně nepotřebujete žádné programy. Vše co potřebujete je webbrowser (ten nejspíš vlastníte, neboť v opačném případě byste teď nečetli tento článek ) a myš.

V čem hack spočívá

Jak jsem již řekl, samotná hra na Facebooku hned v úvodu obsahuje chybu. Touto chybou myslím nepřesné překrytí herního tlačítka vrstvou s nápisem GET READY! Chyba je krásně vidět na následujícím screenu:

Jak můžete vidět na horní a spodní části obrázku, horní vrstva zcela nepřekrývá herní tlačítko. Stačí tedy jen myší klikat na tyto části tlačítka a budete dostávat body bez toho, aniž by se spustil odpočet času.

Až si naklikáte požadovaný počet bodů, stačí kliknout na GET READY a regulérně hru dohrát, poté zveřejníte výsledek na své zdi.

Pokud chcete naklikat tisíce, desetitisíce či snad statisíce kliků, bude lepší stáhnout si nějaký autoclicker. Kde takový program sehnat, jak jej nainstalovat a používat zde popisovat nebudu, jistě to každý průměrný uživatel zvládne sám

Pro představu, zde je můj výsledek (pomocí autoclickeru samozřejmě):

Pokud máte otázky, či se chcete podělit o své zkušenosti, můžete k tomu použít komentáře

Fenomén jménem Facebook zde jistě všichni znáte a proto se tu o něm nemusím dlouze rozepisovat. Jedná se tedy o celosvětovou sociální síť, kde si založíte profil, navážete kontakt se svými přáteli, nahráváte své fotografie a nebo třeba využíváte různé přidružené aplikace. O jedné takové bude dnes řeč.

Přesněji – jedná se o Facebook aplikaci Click Challenge 3.0. A proč se o ni budeme bavit? Protože je velmi špatně řešená a obsahuje chybu, pomocí níž se dá velice snadno hacknout.

V aplikaci Facebook – Click Challenge 3.0 jde o to, kolikrát během 30 vteřin stihnete kliknout myší na tlačítko a nasbírat tak body (1klik = 1bod). Pomocí menší úpravy skriptu si však můžete prodloužit čas a také změnit, kolik bodů dostanete za kliknutí. Jak už jsem říkal, aplikace není moc dobře zabezpečená a jelikož je napsaná přehledně v JavaScriptu, autor aplikace naservíroval chybu přímo pod nos.

Nejprve je nutné otevřít si aplikaci mimo Facebook. Jak tento krok provést zde nebudu vysvětlovat, každý průměrný uživatel to jistě ví. (externí odkaz)

Jelikož budu celou operaci provádět v prohlížeči Mozilla Firefox, bude nutné si stáhnout doplněk FireBug. (hledání a instalaci doplňku zde opět popisovat nehodlám)

Poté stačí již jen spustit Click Challenge přes externí odkaz a zároveň aktivovat FireBug.

Ve Firebugu stačí otevřít záložku HTML, kliknout na tlačítko UPRAVIT a rozkliknout skript, který se nachází těsně před značkou body (náhled níže):

<script type="text/javascript"><br /></body>

V tomto scriptu najděte tento řádek:

var vtime = 30; 

Jak si asi správě myslíte, hodnota 30 udává počet vteřin ve hře. Stačí tedy hodnotu přepsat třeba na 300 a rázem máte 300 vteřin na klikání.

Dále najděte tento kód:

function inform(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
}

function mclick(){
 vclick += 1;
 document.getElementById('eclick').innerHTML = vclick;
 document.getElementById('eon').value = vclick;
 if(start == 1){interval = setInterval('sec()',1000);start = 0;}
} 

Zde je na dvou místech vidět zápis vclick +=1 znamená to, kolik bodů se má přičíst za jedno kliknutí. Stačí „1″ nahradit třeba „1000″ a rázem za jedno kliknutí dostanete 1000 bodů.

Po menším tuningu skriptu to tedy vypadá tak, že máte 300 vteřin na to abyste klikali přičemž za 1 klik dostanete 1000 bodů. Jak vidíte, není problém zde naklikat miliony či stamiliony bodů.

Jakmile si naklikáte požadovaný počet bodů, stačí počkat, než uběhne vámi nastavený čas. Poté vyskočí klasické dialogové okno Facebooku, které se Vás zeptá, zdali chcete výsledek zveřejnit na zdi. Pokud kliknete na „Zveřejnit“ objeví se na Vaší zdi, že jste naklikali třeba 11 milionů bodů za 30 vteřin. Jistě budete mezi Vašimi přáteli za experta.

Návod pro Operu (Autor: Dan Dušek)

Pokud není něco jasné, komentáře jsou k dispozici.

Došlo celkem ke dvěma hack útokům, přičemž byly dvakrát vyřazeny servery Banan.cz a při druhém útoku došlo dokonce k odcizení informací o klientech – unikla data několika tisíců klientů. Dokonce i těch, kteří již dávno klienty firmy Banan s.r.o nejsou.

Firma se snažila tyto události zamést pod koberec, ovšem informace se dostaly ven a proto přišla firma s tiskovým prohlášením, které je přinejmenším směšné.

Ano, opravdu je to tak! Jeden z největších webhostingových gigantů v ČR byl napaden hackery a to hned 2x! Oba útoky byly úspěšné (i když to Banan s.r.o oficiálně nepřiznal).

K prvnímu hacku došlo v Pondělí (18.1.2010), to se na webech hostovaných u Banan.cz (a i na hlavní stránce Banan.cz) objevil tento nápis:

Ze strany webhostingu nepřišla žádná reakce.

K dalšímu hacku došlo 21.1.2010 (co viděl jeden z klientů firmy Banan s.r.o si můžete prohlédnout na druhém screenshotu)

Tentokrát už ze strany firmy došlo k vydání tiskové zprávy (čtěte zde), ovšem celá tato zpráva je směšná a jakýkoliv zkušenější uživatel internetu se jistě nad touto zprávou pousměje.

Nakonec bych rád řekl, že k hack útoku může dojít kdykoliv a na kohokoliv, ale takový způsob, jakým se k problému postavila firma Banan s.r.o je přinejmenším zajímavý.

Na serveru Webtrh.cz vzniklo diskuzní vlákno, kde se můžete o celé události dočíst více. Najdete zde jak screenshoty, tak vyjádření klientů a další informace. – diskuze zde.