Spis treści
Dane użytkowników ujawnione – co się dzieje?
Zespół badawczy zajmujący się cyberbezpieczeństwem – Cebernews, wykrył pod koniec czerwca i właśnie opisał na swoim dedykowanym serwisie ważne dla polskich użytkowników zdarzenie. Chodzi o nieumyślne udostępnienie w sieci danych aż 60 tys. użytkowników popularnego polskiego serwisu internetowego Quizme. Jest to platforma z quizami, testami personalnymi czy łamigłówkami, z której korzystają różne osoby prywatne, ale również jednostki edukacyjne z Polski.
Według danych, każdego miesiąca z Quizme korzysta około 300-350 tys. użytkowników. Sprawa jest o tyle poważna, że w wyniku problemu z zabezpieczeniami nieautoryzowane osoby mogły otrzymać dostęp do tak istotnych danych, jak:
nazwy użytkowników,
hasła,
adresy e-mail,
adresy IP,
a nawet dane powiązanych kont na Facebook.
Wśród informacji znalazły się również udzielane przez niektórych użytkowników odpowiedzi, co (jak wskazuje zespół Cybernews) potencjalnie mogłoby pozwolić cyberprzestępcom na tworzenie profili tych użytkowników. Dzięki temu przestępcy mieli możliwość sprawdzić preferencje danych osób, a w połączeniu ze zdobytymi w wyniku nieścisłości danymi, uzyskać skuteczne narzędzia do ataku.
Masz konto na Quizme? To musisz zrobić natychmiast
Potencjalne zagrożenie dla użytkowników Quizme, do których danych można było dotrzeć w wyniku zdarzenia, jest przy tym duże. Mogą oni bowiem stać się celem ataków phishingowych lub prób bezpośrednich oszustw. Jeśli natomiast hasła do konta powielały się z danymi logowania tych osób do innych serwisów, kont lub skrzynek mailowych, to oszuści również do nich mogą uzyskać teraz dostęp. Jeśli więc masz konto na serwisie Quizme i korzystałeś z jego zasobów, to natychmiast musisz:
Zmienić hasło w serwisie i wszędzie, gdzie używasz choćby podobnego hasła,
Włączyć weryfikacja dwuskładnikowa wszędzie, gdzie to możliwe,
Sprawdzić w ustawieniach kont, czy nie było dziwnego logowania do nich lub wprowadzonych zmian.
Jak doszło do udostępnienia danych użytkowników Quizme?
Skoro już wiemy, co się stało i jakie zdarzenie niesie ze sobą zagrożenia, pozostaje jeszcze jednak kwestia, czyli jak do tego doszło. Otóż udostępnienie danych użytkowników Quizme nie było celowym działaniem, a wynikiem błędu i przestarzałych zabezpieczeń, jak przestarzały algorytm haszujący SHA-1, a także udostępnieniem certyfikatu SSL serwisu.
W wyniku tego serwis miał włączoną opcję wyświetlenia katalogów zawierających m.in. kopie zapasowe wspomnianych wcześniej informacji. Tym samym praktycznie każdy mógł uzyskać do nich dostęp wyłącznie przy pomocy przeglądarki internetowej i bez potrzeby żadnej weryfikacji czy uwierzytelnienia.Co istotne, strona Quizme robi systematyczne kopie zapasowe, więc ujawnione 25 czerwca informacje nie były starsze, niż 24 godziny.
Jak poinformował nas Zespół Quizme, zaraz po ujawnieniu sytuacji pomoc techniczna Quizme usunęła problem i poprawiła zabezpieczenia. Jak przy tym zaznaczył zespół, nie ma obecnie dowodów na to, aby ktoś faktycznie powstałą lukę zabezpieczeń zdążył wykorzystać, niemniej użytkownicy, których dotyczy problem, są informowani o potencjalnym zagrożeniu.
25 czerwca serwis CyberNews.com poinformował nas o możliwości nieautoryzowanego dostępu do backupów naszej bazy danych oraz o krokach, jakie należy wykonać, by taki dostęp uzyskać. Umożliwiał to nieumyślny błąd konfiguracji serwera, który został naprawiony w ciągu 24h. Wygenerowaliśmy też nowy certyfikat SSL dla serwisu.
Zakładając dobre intencje serwisu CyberNews.com, nie mamy dowodów, żeby ktoś inny tę lukę wykorzystał. Niemniej informujemy użytkowników o podejrzanej możliwości nieautoryzowanego dostępu do bazy danych i prosimy o zmianę hasła w serwisie oraz w innych serwisach, w których używają tego samego hasła lub adresu e-mail. Nie dostaliśmy żadnego zgłoszenia, że czyjeś konto w serwisie zostało "przejęte", a zdecydowana większość użytkowników korzysta z serwisu bez zakładania w nim konta lub logowania się. Nawet mając dostęp do bazy danych, możliwość powiązania użytkownika z odpowiedziami w quizie jest możliwa w < 1% przypadków. - Zezpł Quizme