Dziura w IPBOARD - wyciek tabeli użytkowników

Witamy serdecznie,

w ostatnich dniach zostaliśmy ofiarą ataku na bazę danych forum. Atak był spowodowany dziurą w silniku forum (a dokładniej, jednym z jego dodatków) - link do informacji: http://community.invisionpower.com/blogs/entry/9704-active-security-exploit/. Fix zabezpieczający został wgrany już wczoraj. Ponadto, sam wadliwy dodatek, jako, że nie jest nam potrzebny, został na wszelki wypadek całkowicie wyłączony.

Baza danych, która wyciekła, to tabela z danymi użytkowników. Hasła są zaszyfrowane, w dodatku posolone. Rozszyfrowanie takich haseł to bardzo pracochłonna kwestia. Baza, która, nic dziwnego, szaleje po Internecie.

Dlatego:

- jak najszybciej włączymy wymuszenie zmiany hasła przy następnym logowaniu na forum

- prosimy ogólnie, o zmienienie hasła do forum i tam gdzie jest ono takie samo

Mimo, że taki wyciek nie jest spowodowany bezpośrednio z naszej winy, najmocniej przepraszamy wszystkich użytkowników za, nie ukrywając, poważny atak na ich bezpieczeństwo. Nawet najlepsze platformy nie są w stanie ustrzec się przed różnymi włamaniami, potwierdzają to ostatnie ataki, takie jak heartbleed (http://pl.wikipedia.org/wiki/Heartbleed ). Sytuacja zdażyła się również na skrypcie konkurencji w tym samym czasie - http://niebezpiecznik.pl/post/adminujesz-forum-mybb-przeczytaj/. Niedługo wychodzi nowa wersja silnika forum, miejmy nadzieję, że już bez podobnych niespodzianek.

Jako profesjonalna ekipa dbamy o Wasze bezpieczeństwo, nie zatajamy informacji o przecieku, aby nie narazić Was na przykrości. Mamy nadzieję, że każdy użytkownik zrozumie jak wygląda sytuacja i mimo wszystko odwiedzi nasze forum.

Zmiana hasła dostępna jest pod tym linkiem.

Pozdrawiamy,

Administracja

PS. Ten sam tekst będzie widoczny w Waszych skrzynkach mailowych, by jak najwięcej osób dowiedziało się o ataku i zmieniło hasła.

Może nie tyle każcie zmieniać hasło do maila, tylko po prostu wszędzie tam, gdzie ono jest takie samo jak tutaj.

BTW. Dzięki za info

na mybb to samo .;.

A się porobiło...

A jeśli zmiana hasła na forum oznacza dla was zmianę hasła wszędzie to polecam zapoznać sie np z keepassem

Ja od siebie polecam LastPass. Bardziej mi przypadł do gustu

Jaki typ na zarabiam sprzedaje Wasze konta, wiem zmieniajcie hasła jak najszybciej.

Zawsze zostają mu maile na sprzedaż i ciągły spam.

Niestety nie za bardzo mamy co zrobić z ta sytuacja. Możemy .Was przeprosić za zaistniałą sytuację i robić wszystko, aby takie zdarzenie się nie powtorzylo.

Niestety nie za bardzo mamy co zrobić z ta sytuacja. Możemy .Was przeprosić za zaistniałą sytuację i robić wszystko, aby takie zdarzenie się nie powtorzylo.

Ja tam do was nic nie mam, nie wasza wina, hasła już zmieniłem na forum i emailu.

Jaki typ na zarabiam sprzedaje Wasze konta, wiem zmieniajcie hasła jak najszybciej.

hahaha

To oszust Nie ma bazy danych, tylko wykorzystał sytuację

Takie gówno trzeba wywalać do śmieci.

hahaha

To oszust Nie ma bazy danych, tylko wykorzystał sytuację

Takie gówno trzeba wywalać do śmieci.

Na screenie widać,że ma tę bazę, choć nie wiem jak to z tymi hasłami jest.

Ja mam do takich for jak te, haslo którego nigdzie indziej nie uzywam, ale prewencyjnie i tak je zmienilem, zeby sie ktos nie zalogowal i nie wystwail jakis ofert na moje konto

ale haseł nie da się ot tak rozszyfrować, nawet admin tego forum nie ma wglądu do haseł, to nie tak działa, że tworzysz forum/strone i zbierasz sobie baze danych userów, potem wyciagasz hasla...

Jedynie do czego moze sie przydac to do mailingu, ale moim zdaniem nie ma tej bazy danych.

Ale gdyby miał:
Pozmieniajcie sobie maile, bo mozecie sie spodziewac spamu a poza tym karalne jest sprzedawanie bazy danych do celow marketingowych bez wyrazenia zgody uzytkownikow, wiec jak jakas firma zareklamuje sie za pomoca maili, to wystarczy zglosic ją do odpowiednich sluzb.

Tyle, że jakbyś przeczytał regulamin to tutaj na forum wyrażasz zgodę na mailing.

Tyle, że jakbyś przeczytał regulamin to tutaj na forum wyrażasz zgodę na mailing.

Tutaj

nigdzie indziej

Wyraziłeś zgodę na otrzymywanie mailingu od administracji MK - zgadza się.

Ale rejetrując się na tym forum nie wyraziliśmy zgody na otrzymywanie mailingu z innych stron, tak więc...

Wiesz do czego zmierzam.

Wystarczy, że pojawi się reklama jakieś firmy w naszych skrzynkach pocztowych wysłana na skradzioną bazę danych, kontaktujemy się z nią i odpowiednio argumentując prosimy o źrodło listy odbiorców tej reklamy (czyli prosto-skąd wziął naszą bazę). Po nitce do kłębka, takiego gnojka który nielegalnie sprzedał bazę danych łatwo będzie namierzyć

a i reklamującej się firmie oberwie

Tyle, że jakbyś przeczytał regulamin to tutaj na forum wyrażasz zgodę na mailing.

Co do haseł masz pewnie rację. Ale maile ma co widać na tym screenie http://s24.postimg.org/ajxhtxl1h/image.png

... Ale maile ma co widać na tym screenie http://s24.postimg.org/ajxhtxl1h/image.png

Zmien mail - proste

Oj Geniusze zawsze można wysłać jako administracja MC

Oj Geniusze zawsze można wysłać jako administracja MC

Nie będę sie z koniem kopał bo to nie ma sensu. Jeżeli wysłany bedzie mailing przez jakaś firmę zewnętrzna to na pewno na to Zareagujemy.