Szerző: 112Press / Troyhunt.com 2020. november 20.

23 ezer weboldal lopott felhasználói adatbázisát publikálták - Kigyűjtöttük a magyar lapokat

2020. novemberének elején töltötték fel cyberbűnözők egy 50 gigabájtos méretű adathalmaz MEGA-fájlmegosztóra mutató linkjét egy orosz nyelvű fórumra, amelyben állítólagosan 23 ezer weboldal felhasználóinak, köztük a gyűjtésünk szerint kb. 300 magyar oldal felhasználóinak emailcíme és több esetben titkosítatlan jelszava is megtalálható. Az adatbázis nagyobb része már korábbról ismertté vált, de újdonságokat is tartalmazott.

Fontos: A 2020.11.04.-én nyilvánosságra hozott adatcsomagban talált szivárogtatások nagy része nem 2020-as, hanem korábbi években ellopott adat, de vannak benne újabb, idei emailcím-jelszó párosok is. Összeállításunk végén, keretben olvasható egy olyan példaértékű reakció, ami egy 2018-as adatlopás után született. Az érintett magyar weboldal adatbázisát is megtaláltuk az orosz fórumon publikált csomagban, ezért vettük fel a kapcsolatot a céggel. Perceken belül megkaptuk emailben, mit tettek ők, amikor kiderült a szivárgás.

Magyar oldalról lopott emailcím és jelszó párosok az adatcsomagban

A 112Press az adathalomból kigyűjtött közel 300 magyar vonatkozású weboldalt. Ezek között található híres énekes portálja, népszerű autósport oldal, ingatlanos, ételrendelő oldal és több erotikus tartalmú cím is. Ezeket cikkünk végén felsoroljuk és kérjük, hogy aki ezen oldalak bármelyikén regisztrált korábban, az lehetőség szerint változtassa meg a jelszavát.

A Cit0day névre hallgató szivárogtatásban a fenti oldalak felhasználói adatbázisát publikálták a tolvajok, emailcímekkel és jelszavakkal együtt. Valamelyest jó hír lehet, hogy sok esetben a jelszó nem párosítható egyszerűen az emailcímmel. Szintén gyakori, hogy a valós emailcím mellett a jelszóból képzett egyedi karakterhalmaz, ún. hash található.

A kiszivárgott emailcím - jelszó páros kifejezetten veszélyes azoknak, akik ugyanazt a jelszót használják a levelezőrendszerük elérésére, mint a különböző oldalak regisztrációjánál megadott jelszó. Nekik azt javasoljuk, hogy sürgősen változtassák meg azt a jelszót, amivel elérik a levelezésük fiókját (Pl. Gmail) és ha az adott szolgáltatónál van rá lehetőség, akkor állítsanak be kétlépcsős azonosítást. Ez sok esetben lepattintja a próbálkozókat.

Az egyik hazai oldalon inkább kikapcsolták a regisztrációt

A cit0day.in oldal hacker fórumokon hirdette magát korábban, "speciális szolgáltatásokat" kínálva. Ez nagyjából annyiból állt, hogy lopott adatbázisokkal házalt, többmillió emailcímmel és sok esetben hozzájuk tartozó jelszavakkal. Az adatbázishoz néhány ezer eurós éves díjért lehetett hozzáférni, de ez bőven kifizetődő lehetett azoknak, akik rosszban sántikáltak. És itt nem csak arra kell gondolni, hogy férfierőt megtöbbszöröző pirulákról küldtek reklámot több millió címre, vagy nemlétező csomag adatait "kellett" egyeztetni személyes adatok, banki azonosítók megadásával.

Tészlet az érintett weboldalak adatbázisából

A bűnözők rengeteg több éve működő levelezési fiókhoz is hozzáfértek, ezek segítségével jelszavakat módosíthattak, illetve hamis profilokat építhettek fel és egyéb csalásokhoz is hasznos segítséget nyújthattak a megszerzett adatok.

A cit0day oldal egyébként megszervezte a saját "halálát". Szeptember 14.-én az FBI által használt kezdőkép fogadta a látogatókat, ami arról értesítette őket, hogy a hatóság felfüggesztette az oldal működését. Ez hamisítvány volt, ahogyan az a "belsős" hír is, hogy az oldal üzemeltetőjét, "Xrenovi4"-et őrizetbe vették.

Eljátszotta a portál üzemeltetője, hogy az FBI függesztette fel az oldal működését

Az egyelőre nem világos, hogy az oldal üzemeltetője szivárogtatta-e ki az adatbázist, vagy tőle is megszerezték azt, de inkább az utóbbi a valószínűbb. Az adatbázisban feltehetőleg nagyobb részt tesznek ki az elmúlt években megszerzett user-adatok, de friss adatbázisok is vannak benne. Az biztos, hogy található olyan felhasználónév-jelszó páros, ami ma is működik, ezt magyar emailcím-jelszó párossal teszteltük, a felhasználó előzetes értesítésével és beleegyezésével.

A hatalmas adatbázisban közel 227 millió emailcím és valamilyen módon hozzá kapcsolható jelszó szerepel, ennek harmada, negyede lehet az emailcímhez kapcsolható titkosítatlan jelszó.

Ha kíváncsi arra, hogy az Ön emailcíme szerepelhet-e valamelyik szivárgás adatbázisában, akkor javasoljuk a "';--have i been pwned?", vagy a HackNotice ellenőrzőfelületeit. A cit0day adatbázisról bővebben itt olvashat.

Magyar weboldalról ellopott felhasználói adatbázis részlete

Magyar vonatkozású oldalak listája a cit0day 2020.11.04. adatbázisból:

Megismételjük, valószínűleg az oldalak többségétől nem az idén, hanem korábbi években lopták el a felhasználók adatbázisát. Pánikba esni egyáltalán nem kell, viszont érdemes utánanézni, hogyan lehet biztonságosabban használni az Internetet.

A listában több olyan oldal található, ami még mindig nem használ titkosított HTTP protokollt. A biztonságos HTTP kapcsolatról (HTTPS) itt olvashatók részletek.

13keruleti-hirhatar.hu

197-198.hu

2019budapestfencing.com

7torony.hu

--A--

akadalymentes.mobilgo.eu
akos.hu

aktrecords.hu

americanpizza.hu

amv-marcali.hu

animgo.hu

antikregiseg.hu

aralatt.hu

archiv.neprajz.hu

archive.titanicfilmfest.hu

artenter.hu

art-hungary.net

Asiainfo.hu

aspico.hu

asszisztencia.hu

atlantis.csillagkapu.hu

atlantiszkiado.hu

autonomia.sic.hu

--B--

bahamas.hu

barkacsszerszamok.hu

bckormend.hu

beholder.hu

bernecebarati.hu

biowellnatura.hu

biztonsagabc.hu

biztonsagtechnikai-aruhaz.hu

blog.varrohaz.hu

boltapro.hu

borda.hu

borfalu.hu

borigo.hu

borkaizsolt.hu

budaclean.hu

budakesziiranytu.hu

budapestescort.hu

bukimix.hu

bunugyihirek.hu

butorasz.hu

buzafule.aboltokboltja.hu

--C--

callgirl-budapest.eu

cegreklam.internetmobilmedia.hu

chiponline.hu

chuleevandevi007.aboltokboltja.hu

cikkiro.terasz.hu

ciklus.hu

computerbonto.hu

conflex.hu

connectbudapest.com

crotalgin.hu

csaladihazapro.hu

csodacsiga.hu

cyber-space.hu

czinegemanufaktura.hu

--D--

daciaklub.hu

denglish.jini.hu

dekopir.ozzunk.hu

deviltuning.hu

djfestival.hu

dolgoznifox.hu

donpapa-menza.hu

domain-regisztracio-kft.hu

dorog.boltapro.hu

drdio.hu

drlanda.hu

drinkunion.hu

drvolomdental.hu

duen.hu

dunamenti.hu

dvdfilmtar.hu

--E--

e-nett.hu

egeszsegpenztar.hu

egyenivallalkozokkonyvelese.hu

elampa.hu

ermaningatlan.hu

emagyar.net

ennea.hu

eskuvo-center.hu

eskuvoszombathely.hu

eszperantokonyv.hu

eurogate2000.hu

excell2000.hu

expressingatlanstudio.hu

ezoterikus.hu

--F--

fabito.hu

fehervarikandallos.hu

fekbetetkereso.hu

fekete-sereg.hu

felirat.csillagkapu.hu

felnottkepzesiakademia.hu

ferencikiado.hu

forum.netmania.hu

food-center.hu

fotolux.hu

fozoshow.hu

frankokft.hu

--G--

geniusz.hu

gerecsemotor.hu

ggate.hu

ghingatlan.hu

globo.hu

gorog-pizzeria.hu

gotthardtv.hu

gramofononline.hu

grandtours.hu

gsmszex.hu

gtaplace.hu

gyogyfu.hu

gyongyvasar.hu

--H--

hajkereso.com

harmonet.hu

hasznaltautopecs.com

havanesegallery.hu

hebmesz.hu

hh16.hu

hirhatar.hu

hirdetek.net

horses.lovasok.hu

hotelsandra.hu

hunting-shop.hu

--I--

iask.hu

icmg.hu

ihonlap.hu

increstmail.hu

ingatlanberuhazas.aboltokboltja.hu

ingyenapro.net

ingyenszexfilmek.com

inter-foto.hu

inter.ingatlan.hu

iranyar.hu

itallasvadasz.hu

ivett.masszazszona.hu

--J--

jarmuborze.hu

jarulek.hu

jatekajavabol.hu

jini.hu

journality.hu

jtechnik.hu

--K--

kaff.hu

kalandozoo.hu

karisz.hu

karpitosmester.hu

kaszabfoto.hu

keletunderground.hu

kepeslapneked.hu

kepzeslista.hu

keresi.hu

kertapro.hu

kerttechnika.hu

kiadohaz.hu

kicsivagyok.hu

kormend.hu

koszonjuksio.hu

kovacskeramia.hu

kozossegi.csomagnet.hu

krolify.hu

kszsz.org.hu

ktenet.hu

kutatokejszakaja.hu

kvizpart.hu

--L--

lanseries.hu

laserpictureshop.hu

laserpictureshow.hu

ledig.hu

ligetbudapest.com

lokalhoszt.hu

lxo.hu

--M--

m.koncert.hu

magyarepitoiparkiado.hu

magyarmelo.hu

magyaronline.net

mail.mercatex.hu

malomko.hu

malomkopanzio.hu

mangolul.jini.hu

marcali-kornyeke.bolthirek.hu

marcopolopizza.hu

marosmix.hu

martion.alomvilag.hu

matarka.hu

mbarat.hu

medicalproduct.hu

megujulaliget.hu

metropolitan.hu

mezokovesdiregio.hu

miabonyunk.hu

mimezis.hu

mimicsoda.hu

minalunk.hu

miskolciharsona.hu

mja.hu

mnsza.hu

mobilabc.hu

mokkka.hu

mozgasvilag.hu

muanyagabc.hu

muforditok.hu

mukorom.hu

multikomplex.hu

mymusic.hu

--N--

napragyogas.hu

neroli.hu

nardi.hu

nupi.hu

--O--

olcsoaru.hu

olcsosms.hu

olcsoszallasok.hu

online.kpr.hu

onlinenevezes.hu

opsdivat.hu

oroklet.hu

orszagvirag.hu

otthonfenyei.hu

--P--

pake.hu

palotaborhaz.hu

palyazzunk.hu

pannonnovum.hu

pannonpellet.hu

papirmanufaktura.hu

patella.hu

peca.hu

pioca.hu

piszkozat.hu

pizzahalom.hu

plsys.hu

pogokecel.hu

poema.hu

pop.bakimania.hu

porfesto.hu

portal.uni-corvinus.hu

profitech.hu

pt.bme.hu

puzzle-net.hu

--R--

radio7.hu

rally.hu

rallye.hu

rallysimfans.hu

rapet.hu

reanal-labor.hu

reanallabor.hu

redonykapu.hu

rezidens.enkk.hu

regi.mnasz.hu

risk-conference.uni-corvinus.hu

roxxymusic.hu

ruhashop.hu

--S--

sandorkaroly.hu

sematerapia.hu

shop.hunterowners.com

sinaopt.hu

ske.hu

snowboard.hu

sokoldal.hu

soskut.helyiboltok.hu

staging.irokboltja.hu

stukimania.hu

subtitles.stargate.hu

suliaweben.hu
sunkaraoke.hu

--SZ--
szatmari.hu
szechenyiiskola.hu
szelessavkereso.hu
szentdorottyapatika.hu
szentimreantikvarium.hu
szervizx.hu
szexualitas.hu
szex-partner.hu

szigethalmi-hirhatar.hu

szolgaltatasapro.hu

szolnokinaplo.hu

--T--
tatudesign.hu

techpress.hu

temporisclub.hu

terasz.hu

teszt.ciklus.hu

teszt.inox-tgi.hu

tir.mab.hu

treemail.hu

--U--

utazas.travelo.hu

--V--

varrovilag.hu

--W--

webshop.nektarbiobolt.hu

whiteshell.specialisszoftver.hu

windsurfing.hu

womentime.hu

Így reagált egy érintett cég 2018-ban a tőlük ellopott adatokra

Ezt a tájékoztatót 2018. augusztus 17.-én tettük közzé eredetileg. Most azért szerepel újra itt, mert az akkori adatvesztés tartalma egy újabb, médiafigyelmet kapó nagyobb listában is szerepelt. Fontos leszögezni azt, hogy nem történt új adatvesztést, az új listában szereplő adatok azonosak az akkorival. Mi tavaly augusztusban igyekeztünk teljes átláthatósággal, a szakma legjobb ajánlásainak megfelelve eljárni: most újra megismételjük az akkori tájékoztatást minden általunk elérhető felületen, és kérünk mindenkit újra, hogy ellenőrizze adatait, ne kerüljön veszélybe.

Az első munkahelyemen, az ottani ügyvezetőm szeretett velem az üzleti élet mögötti motivációkról, filozófiákról beszélgetni. Nem volt mindegy egyikünk szerint sem, hogy miért kelünk fel és érünk be minden nap korábban, mint minden más kolléga, és megyünk haza sokkal később, mint akikkel dolgozunk: a motiváció lényeges. Az Ő véleménye szerint például, egy vállalkozás fő felelőssége, hogy profitábilis legyen azon személyek részére, akik felhalmozott tőkéjüket rábízták. Szerintem az volt, hogy azon munkavállalók és családjaik számára, akik életük egyharmadát a cégnek adják biztonságos, stabil és egyre javuló megélhetést biztosítson. Bármelyikünk állt közelebb a valósághoz, mivel országos cégeknél dolgoztunk, egyikünk sem vette figyelembe, hogy mi van akkor, ha helyi cégről beszélünk, amely része a közösségnek, és reggelente az ügyfelekkel együtt versenyzünk az utolsó doboz még nem lejárt tejért a boltban.

Helyi cégek esetén mint amilyenek mi vagyunk, a profit és a munkavállalók mellett szerintem a legfontosabb harmadik kör, aki irányában felelősek vagyunk, az a helyi közösség, aki bízik bennünk. A Szentgotthárdi Városi Televízió Nonprofit Kft. ezért vette nagyon komolyan azt, hogy a weboldaláról adatok szivárogtak ki, és tett meg mindent, jóval többet, mint amit a törvényi kötelezettségeink vagy magyarországi gyakorlat előír számunkra.

Mi történt pontosan?

A GotthardTV.hu aktuális weboldala 2003-ban készült, még bőven az önkormányzati időszak alatt. Az oldal kódnyelve perl, egy klasszikus LAMP architektúrán fut, és egyedi fejlesztés. Ezen az oldalon szerepelt indulása óta egy fórum és egy apróhirdetés felület, aminek a kezelhetősége és adminisztrációja érdekében az eredeti fejlesztők beépítettek egy egyszerű regisztrációs rendszert, amely három adatot tárolt: nicknév, email cím, jelszó. Csak azok adatai érintettek tehát, akik apróhirdetés vagy fórum hozzászólás miatt regisztráltak jellemzően 2004 és 2008 között az oldalra.

Egy automatizált eszközzel(bot) sebezhetőséget találtak a webfelületen, amelyet kihasználtak, és képesek voltak kimenteni az email címeket, és a tárolt jelszavakat.Az automatizált eszköz ezután közzétette az export fájlt egy ismert angol szöveg megosztó oldalon, ahogy ezt a hasonló botok megteszik: így kerülik el a készítők, hogy a nyomok visszavezessenek hozzájuk.

Miért és mennyire veszélyes ez?

Az interneten lévő weboldalak és szerverek folyamatos támadásnak vannak kitéve: egy idei statisztika szerint, egy oldal látogatóinak jellemzően 20-30% rosszindulatú bot, amelynek célja hogy sebezhetőséget találjon. És ezt rendszeres meg is teszik: 2017-ben a Hackmageddon oldal 868 olyan esetről tudott abban az évben, ahol az adatlopást bejelentették. Nem kell informatikai gurunak lenni, hogy biztosak legyünk abban, hogy a támadások túlnyomó részét sem a támadók, sem a megtámadottak nem teszik nyilvánossá. Szerepelt már ilyen áldozatok között a Veszprémi Egyetem, az Facebook, vagy éppen a Magyar Kormányzat különböző számítógépes rendszerei.

A GotthardTV esetében az adatvesztés csak egy szűk alrendszert érintett, ahol legalább tízéves adatokat tárultunk, ugyanis az említett felületek már nem működtek rendeltetésük szerint, noha adattárolás természetesen volt. Tehát ezek nem előfizetői adatok, nem emailfiók adatok, nem kritikus rendszeradatok: veszélyben az van, aki több mint tíz éve azonos jelszót használ az interneten.

Természetesen az oldalunk 2003-ban nem olyan elvek mentén készült, mint amit 2018-ban elvárnánk: nem végzett email cím ellenőrzést sem, ezért 13 biztosan hamis cím volt az adatbázisban (például: nemmondom@meg.hu), valamint 1171 darab már nem letéző cím, amely mögött nincs levelezőfiók. Szintén nem várt el a 2003-ban készített oldalunk erős jelszót: közel 60% a jelszavaknak már nem felel meg a facebook, gmail, freemail szolgáltatások által elvárt feltételeknek: kevés karaktert tartalmaz, vagy éppen nem tartalmaz számot, esetleg nem szerepel benne nagybetű vagy egzotikus karakter.

A kockázat az adatvesztésben az, hogy ha valaki az akkor használt email címével dolgozik jelenleg is, és tíz év elteltével is ugyanazt a jelszót használja. Ezen típusú ügyfelek számára mindenképpen ajánlott hogy új és erős jelszavakat válasszanak, amihez segítséget ezen az oldalon is találhatnak.

Mit tettünk mi?

Mióta megtudtuk az adatvesztést, azóta a szakmailag elfogadott eljárásrend szerint jártunk el:

1.) Felmértük a pontos kárt, beazonosítottuk a feltört rendszert, megállapítottuk a felhasználók pontos kitettségét.

2.) Pontos tájékoztatást adtunk, magunk hoztuk nyilvánosságra az esetet, minden érintett címre tájékoztatót küldtünk (és még több alkalommal fogunk is küldeni) a pontos teendőkről és a kockázatokról.

3.) Felvettük a kapcsolatot azzal az oldallal, ahova kikerültek az adatok, jeleztük számukra is az esetet.

4.) Az érintett szervert a mentések befejeztével leállítottuk, a webfelületet archiváltuk, az online adatokat eltávolítottuk.

Amit nem tettünk:

1.) Nem tagadtuk le a dolgot, sőt mi hoztuk nyilvánosságra.

2.) Nem hazudtunk a dologról, sőt mindenkit tájékoztattunk külön-külön is, és folyamatosan fogunk is.

3.) Nem jelentettünk fel vétlen tizenéveseket, sőt megköszöntük a segítségüket, hogy fontos számukra annyira a helyi közösség, hogy nem éltek vissza az adatokkal, hanem megpróbáltak mindenkit figyelmeztetni a veszélyre.Mindkét cégünk távközlési szolgáltató, amelyek esetében több törvényi és szakfelügyeleti garancia van, hogy működésünk során az adatvédelmet a lehető legkomolyabban vegyük: évente kötelezettek vagyunk, hogy a központi rendszereinket független biztonságtechnikai szakértőkkel auditáljuk, és folyamatosan fejlesszük magunkat ezen a területen. Sosem fordulhat elő cégünknél, hogy távközlési tevékenységünkkel összefüggő adatokhoz szereznek hozzáférést hasonló módon.

Mit tettünk az adatvesztés óta (Frissítés 2019.01.18)

A cikk megjelenését követően folytattuk a tájékoztatást, amit több kommunikációs felületünkön is megismételtünk. A kiszivárgott adatokra ráállítottunk több automatizált eszközt(pl. Google Alerts), amivel figyeltük hogy milyen új helyeken tűnik fel az indexelt oldalak közül. Amikor az általunk használt eszköz találatot jelölt, elkezdődött egy jogi levelezés, amiben kértük a szenzitiv adatok eltávolítását.

Augusztus óta 6-7 alkalommal sikerült elérnünk, hogy az anonim adatmegosztó pastebin oldalon, a kifogásolt adatok ideiglenesen vagy véglegesen törlésre kerüljenek: a dolog nehézsége abban van, hogy a feltöltést jellemzően automatizált eszközök végzik, míg az eltávolítást személyes levelezésen alapul jellemzően. Az ügymenet sem feltétlenül annyiból áll, hogy sablon leveleket küldünk: gyakran elégséges volt szimplán bizonyítani, hogy az adatok adatvesztésből származnak, gyakran 7-8 levélváltáson keresztül kellett indokolnunk hogy mit tettünk és mit kívánunk tenni, hogy ez ne ismétlődjön meg.

Most hogy újra, egy nagyobb listában megjelentek ugyanazok az adatok, újra elkezdjük ugyanazt a tájékoztatást, és megteszünk mindent, hogy minél többen tudjanak az esetről, és biztonságban érezzék magukat.

Ajánljuk továbbá, hogy használjon komplex jelszavakat: a szakma a legjobb ajánlása jelenleg, hogy hosszú, tehát legalább 10-12 karakter, valamint komplex, azaz nagybetűt, kisbetűt, számot, egzotikus karaktert tartalmazzon ismétlődés nélkül, és legalább a kritikus felületeken(bankok/bankkártyák, kormányzati oldalak, céges adatkapuk, levelezés) ne használjon azonos jelszót.

Szintén ajánljuk a többlépcsős azonosítást, valamint a központi jelszókezelők használatát. Ezek közül cégünk is tudja az Ön számára ajánlani a következő szoftvereket:

https://www.truekey.com/hu

https://1password.com/

https://www.lastpass.com/

Összegzés

Az elmúlt években, rengeteg példát láttunk mind Magyarországon, mind külföldön azzal kapcsolatban, hogy a hasonló helyzetet, hogy kezelik: voltak feljelentések, voltak egyértelmű sunyítások, voltak egyértelmű hazugságok.

Elmondhatatlanul büszkévé tesz, hogy az elmúlt években a GotthardTV és a JuPiNet Távközlési Kft. olyan irányokban haladnak, olyan csapat állt össze, akik esetében ez fel sem merült. Azonnali volt a reakciónk, pontos tájékoztatást tudtunk adni, és mint informatikai szakemberek külső segítség nélkül kezeltük és kezeljük a legjobb ajánlások alapján a helyzetet.

Én úgy gondolom, hogy az üzleti és a személyes életben egy partner valódi értékét nem az egyszeri kedvezmények, vagy éppen a brossúrában írt marketingszöveg jelenti: a valódi értéket az adja meg, hogy amikor igazán gond van, akkor szól. Emiatt lehet valakiben bízni, emiatt lehet valakire támaszkodni, és összekötni az üzleti és személyes érdekeket.

Mi mint helyi cég, azért vagyunk, és leszünk jobbak abban amit csinálunk az országos versenytársainknál, mert részei vagyunk az itteni életnek, és fontosak számunkra az ügyfeleink, azaz a szomszédaink és barátaink annyira, hogy átláthatóak és őszinték legyünk ilyen helyzetekben is, akár a saját jóhírünket és megélhetésünket kockáztatva.Magam és kollégáim nevében is elnézést kérünk mindenkitől, aki a GotthardTV.hu oldalon regisztrált felhasználó volt, és az adatai veszélybe kerültek. Mindent megteszünk, hogy ezt a veszélyt csökkentsük, és hasonló soha többet ne fordulhasson elő.

Bálint Péter
Szentgotthárdi Városi Televízió és Kábelüzemeltető Nonprofit Kft.
Marketing&Értékesítés