Главная страница ББ-Wiki Важное Карта сайта

Взлом, слив или дыра?

Публикация в группе: Микроблог Штирлица

На стороннем сайте, в очень посещаемой ветке форума появилось сообщение (ныне удаленное), что в счетчике Яндекс-метрики этого блога явно палится очень много информации, которая вообще не должна палиться: логины и пароли юзеров.

Давайте разберемся, что  за херня, кто виноват и что делать.

Забегая вперед – специальным плагином я сбросил пароли юзерам (старые пароли стали неверны), сразу же как проснулся и увидел сообщение в личку о ситуации.

По сообщениям некоторых людей не всем пароли сбросились, т.к. скрипт видимо-таки долго выполнялся (более 10 тыс. зарегистрированных) и перестал выполняться после определенного времени.

Палево от счетчика Яндекса

Выглядит в метрике Яндекса это так:

И так:

Указано про некие 700 строчек, но не все из них с паролем, да и что это за странички – мне тоже непонятно.

И как давно это всё собирается?

Не могу знать.

Хоть в статистике говорится про начало действии метрики “Просмотры” с группировки “Адрес страницы” с 19.06.2013, это ничего не значит в части того, что все мы под колпаком у Яндекса давным-давно.

Покопавшись на разные даты пришел к выводу, что ненужная отчетность стала вестись в метрике с января 2014 г. При этом непонятно по какому принципу. Ниже видно, что за январь-февраль 2014 попали в статистику пароли 5ых юзеров, причем UserUser – мой служебный аккаунт для теста функционала.

При том, что на сайт тогда заходило по 700-1200 юзеров в сутки:

Как же так получилось? Покопавшись за разные периоды статистики и посмотрев, что за юзеры тут упомянуты, я понял, что их всех объединяет.

Они были зарегистрированы на сайте в этот период и перешли на сайт по ссылке из почты. Я тут же проверил теорию на практике, зарегистрировав юзера:

Яндекс “услужил”, сохранив точку входа людей на сайт.

Причем не всех. Либо тех, кто скопипастил ссылку, либо тех, кто перешел по ссылке. И также одно время было отключено подтверждение регистрации.

Да и вообще, судя по малому списку относительно большого числа зарегистрированных людей на сайте Яндекс не всё перехватил, хоть это хорошо.

 

Это дырявый движок WordPress?

Хаять блоги на WordPress нет причины. Виноват плагин и его автор-разработчик, сделавший такую коварную открытую ссылку, небезопасную для последующего перехода, т.к. Яндекс сохранял точки входа. Адекватной реакции и комментария по этому поводу от программиста я не дождался.

Но проблема исчерпана, сейчас ссылка для подтверждения регистрации скоро будет приходить в таком формате:

САЙТ/?rcl-confirmdata=dGV0c3tyY2x9MjAxNjIwMTZ7cmNsfWVjY2JjODdlNGI1Y2UyZmUyODMwOGZkOWYyYTdiYWYz

Скоро, потому что нужно всего лишь обновить плагин.

Пока что я этого не делаю, т.к. пропадет функционал старого чата и будет доступен только новый, к этому нужно подготовиться, ранее было много негатива по этому поводу, нужно подготовиться к импорту.

Можно было бы этого избежать?

  • Ну да, если не ставить плагины и дополнения на голый движок. По понятным причинам удалять плагины я не собираюсь.
  • Или проще: закрыть страницу статистики Яндекс-метрики для публичного просмотра. Это уже сделано.
  • Но самое главное, что коренным образом могло исправить ситуацию – обратиться к программисту, который пару лет занимается плагином wp-recall (codeseller.ru) и попросить устранить такой косяк, он это сделал.

Соглашусь с цитатами ниже, что у меня сайт, что у Андрея программиста сервисы бесплатные и подаются “как есть”:

pwameegsyot:

Бесплатный сервис предоставляется as is.
По-моему, с самого начала было видно, что хозяина блога интересуют денежные вопросы, а не технические. Кто решил доверить свою переписку, сам себе буратино.

и с olbrnew:

Большинство здесь собирается для того, чтобы шакалить темы.
Вторично по обмену этими же темами.
Блогу и Роману бабла такие люди не приносят.
Показательным стали высказывания и намеки в бублике, чито из Романа админ, как из говна пуля и рассказы, как правильно делать.
Но при этом (подозреваю) ни один человек за 3 года не написал ему нормально где и какие косяки есть и на что обратить внимание.
Возможно Роман не великий гуру администрирования и сайтостроения, но при таком отношении возникает логичное желание молча или публично послать в жопу всех страдальцев с их личками.
Вангую, что большинству пофиг на эту утечку. Кто желал, тот обезопасился и анонимизировался другими способами.

 

Чем такой слив может грозить?

Имейте привычку делать разные пароли на сайтах и в платежных сервисах. Пароли заменены, к вам никто не войдет и вашу переписку не увидит. На 11.02.2017 я не получал жалоб на взломы, получение доступов, увод денег со счета и т.д.

 

Что за коварная Яндекс-метрика?

Ну что вы, очень полезный продукт, позволяет узнать, кто он – мой посетитель. Например, возраст людей, посетивших сайт сегодня:

Или могу узнать адреса страничек, которые долго грузятся, может быть из-за не оптимизированной графики:

Здесь тоже как-то был казус, каким-то образом вышли на локальные адреса участников блога, т.е. кто-то сохранял страницу блога себе на компьютер, но код метрики при запуске страницы связывался по интернету с яндексом и подсказывал, откуда запущен сохраненный файл…

Что-то типа

c:\Document and Settings\User\Котэ\М.-А.-П.html

 

Резюмируя.

Я сделал свои выводы из ситуации, в том числе о том, кто и зачем выложил эту информацию в паблик, а не сообщив предварительно мне.

Приношу свои извинения тем, кого прямо или косвенно коснулась или просто возмутила эта ситуация.

10 комментариев: Взлом, слив или дыра?

  • Bonus_kod говорит:

    Да ладно, все мы люди-человеки. Ни кто от этого не застрахован, главное что все живы и здоровы! А что до якобы слитой информации, так этим воспользоваться смогли единицы (имеется ввиду обычные пользователи), которые врядли изменили в корне живучесть тем!

    0
  • SiMM говорит:

    При нормальном раскладе rglogin и rgpass в ссылке из мыла ненужны – достаточно хэша, по которому определяются эти два параметра из базы на стороне сервера.
    И что-то мне подсказывает что в rcl-confirmdata опять логин с паролем содержатся, пусть и в зашифрованном виде.

    0
    • loki говорит:

      В несильно зашифрованном виде, надо сказать:
      base64.b64decode ( b’dGV0c3tyY2x9MjAxNjIwMTZ7cmNsfWVjY2JjODdlNGI1Y2UyZmUyODMwOGZkOWYyYTdiYWYz’)
      tets{rcl}20162016{rcl}eccbc87e4b5ce2fe28308fd9f2a7baf3

      1
      • SiMM говорит:

        Походу, горемыка даже не понимает, в чём проблема – мож, по Курепину учился? 😀

        0
      • loki говорит:

        Надо хотя бы как-то так:
        hashlib.sha1(b”tets{rcl}20162016{rcl}eccbc87e4b5ce2fe28308fd9f2a7baf4″).hexdigest()
        ’16c47de72c06502aa4ed90565b4765f931c56137′

        0
        • SiMM говорит:

          А ещё мне тут подумалось, что с логином и/или паролем, содержащим {rcl}, программа косячить будет 😀

          0
          • student говорит:

            Абсолютно так же, как в “старой” модели аутентификации при использовании спецсимволов, имеющих для URL специальное назначение типа ?, &, %, /, \, ‘, “. (заранее предвижу, что при размещении сообщения в последней позиции перечисления движок сайта может перекорежить кавычку-лапку в кавычку-елочку; подразумевается лапка, символ с кодом 22 шестнадцатиричное)

            0
  • student говорит:

    Имейте привычку делать разные пароли на сайтах и в платежных сервисах.

    Это главнейший вывод, который следует сделать всем. Даже безотносительно взлома или слива или дыропроникновения. В сети нет 100% гарантии, что нигде никогда ничего не ломанут. Методов масса. Уязвимостей по мере усложнения и утяжеления кода просто за счет возможных ошибок программистов становится все больше. Я уж не говорю про намерянно оставленные backdor’ы. Заинтересованных в получении чужой информации, тоже прибывает день ото дня. Поэтому: на разных ресурсах разные пароли. Особенно если очевидно, что пользователь на сайте 1 и на сайте 2 это один и тот же человек. Не давайте злоумышленникам шанс через один взлом проникнуть на целый набор ресурсов.
    А теперь расширю мысль с паролями. Применительно к кашеварству. Иногда некоторые банки или платежные системы пытаются выявить мультиреги или аккаунты, зависимые от одного основного, или в нашей терминологии аффилированных лиц. По общему IP, по характерному поведению, по снятию в один и тех же банкоматах, по одинаковым паролям, присвоенным разным пользователям. Я не заглядывал внутрь архитектуры хранилищ данных в банках, но могу предположить. Поскольку их криптография сертифицирована кем надо (а сертификацией СКЗИ занимается именно «какое надо» ведомство), там все устроено сравнительно правильно. В частности, не хрянятся в явном виде пароли пользователей, а лишь хеш от них. Таким образом, задача прикладного параноика будет состоять в том, чтобы пароли АФЛов были разными. С точки зрения хеша. Или иными словами с точки зрения утилиты, которая будет шерстить базу данных на предмет одинаковых хешей паролей. То есть в бытовом смысле просто хоть немного разными. А хеширование доделает дальше свое дело, и удобные пароли AFL1 и AFL2 после преобразования не будут иметь вообще ничего общего. Что нам и было нужно изначально.
    А в прикладном случае ББ делаем для почты пароль например passmail, для файта пароль passbb и радуемся повышению секьюрности. (именно эти пароли использовать не вздумайте! по понятным причинам, ведь они мои)
    Be safe!

    2
    • loki говорит:

      Начав банить по совпадающему хэшу, СБ скоро на своей шкуре узнают, сколько сотрудников высшего руководства и их родственников предпочитают пароль “123”. Как сисодмин, полагаю, что много.

      0
      • student говорит:

        В тройке самых популярных паролей из похожего на названный тобой 12345 и 123456. Если программист достаточно разумен, то он сделает для такого фильтр с условием, что если у 1000 клиентов банка пароль один и тот же, то это просто “популярный” пароль. Если у 10-20, то скорее всего это “куст” растущий из-под какого-либо клиента, но нужно дополнительно проверить иные признаки сходного поведения. И по сврадению хешей на ручной контроль, а не в бан сразу.

        0

Добавить комментарий

Объявление

Это архивная версия сайта. Перейдите на blogbankir.ru

Полезное

Были удалены ссылки на долго не обновляемые материалы

Все mcc-коды (справочник)
Пользователи сайта
Гаранты сделок на сайте
Anybalance – незаменимая Android-программа балансов всего и вся.

Сообщества блога и микроблог Штирлица (обн. 13.06.2017)
Заметки индейца о пути хоббиста (обн. 20.08.2017)
Цитатник блога
Фин-анекдоты и байки
Секретный словарик
Обналичка без потери ЛП
(Не)/Честный грейс

Полезные ссылки

Bestchange (мониторинг обменников)
Околохоббистская тематика:
Храни Деньги
Деньгомер.info
Зарплата №13: доход в режиме хобби