Взлом, слив или дыра?
На стороннем сайте, в очень посещаемой ветке форума появилось сообщение (ныне удаленное), что в счетчике Яндекс-метрики этого блога явно палится очень много информации, которая вообще не должна палиться: логины и пароли юзеров.
Давайте разберемся, что за херня, кто виноват и что делать.
Забегая вперед — специальным плагином я сбросил пароли юзерам (старые пароли стали неверны), сразу же как проснулся и увидел сообщение в личку о ситуации.
По сообщениям некоторых людей не всем пароли сбросились, т.к. скрипт видимо-таки долго выполнялся (более 10 тыс. зарегистрированных) и перестал выполняться после определенного времени.
Палево от счетчика Яндекса
Выглядит в метрике Яндекса это так:
И так:
Указано про некие 700 строчек, но не все из них с паролем, да и что это за странички — мне тоже непонятно.
И как давно это всё собирается?
Не могу знать.
Хоть в статистике говорится про начало действии метрики «Просмотры» с группировки «Адрес страницы» с 19.06.2013, это ничего не значит в части того, что все мы под колпаком у Яндекса давным-давно.
Покопавшись на разные даты пришел к выводу, что ненужная отчетность стала вестись в метрике с января 2014 г. При этом непонятно по какому принципу. Ниже видно, что за январь-февраль 2014 попали в статистику пароли 5ых юзеров, причем UserUser — мой служебный аккаунт для теста функционала.
При том, что на сайт тогда заходило по 700-1200 юзеров в сутки:
Как же так получилось? Покопавшись за разные периоды статистики и посмотрев, что за юзеры тут упомянуты, я понял, что их всех объединяет.
Они были зарегистрированы на сайте в этот период и перешли на сайт по ссылке из почты. Я тут же проверил теорию на практике, зарегистрировав юзера:
Яндекс «услужил», сохранив точку входа людей на сайт.
Причем не всех. Либо тех, кто скопипастил ссылку, либо тех, кто перешел по ссылке. И также одно время было отключено подтверждение регистрации.
Да и вообще, судя по малому списку относительно большого числа зарегистрированных людей на сайте Яндекс не всё перехватил, хоть это хорошо.
Это дырявый движок WordPress?
Хаять блоги на WordPress нет причины. Виноват плагин и его автор-разработчик, сделавший такую коварную открытую ссылку, небезопасную для последующего перехода, т.к. Яндекс сохранял точки входа. Адекватной реакции и комментария по этому поводу от программиста я не дождался.
Но проблема исчерпана, сейчас ссылка для подтверждения регистрации скоро будет приходить в таком формате:
САЙТ/?rcl-confirmdata=dGV0c3tyY2x9MjAxNjIwMTZ7cmNsfWVjY2JjODdlNGI1Y2UyZmUyODMwOGZkOWYyYTdiYWYz
Скоро, потому что нужно всего лишь обновить плагин.
Пока что я этого не делаю, т.к. пропадет функционал старого чата и будет доступен только новый, к этому нужно подготовиться, ранее было много негатива по этому поводу, нужно подготовиться к импорту.
Можно было бы этого избежать?
- Ну да, если не ставить плагины и дополнения на голый движок. По понятным причинам удалять плагины я не собираюсь.
- Или проще: закрыть страницу статистики Яндекс-метрики для публичного просмотра. Это уже сделано.
- Но самое главное, что коренным образом могло исправить ситуацию — обратиться к программисту, который пару лет занимается плагином wp-recall (codeseller.ru) и попросить устранить такой косяк, он это сделал.
Соглашусь с цитатами ниже, что у меня сайт, что у Андрея программиста сервисы бесплатные и подаются «как есть»:
pwameegsyot:
и с olbrnew:
Большинство здесь собирается для того, чтобы шакалить темы.
Вторично по обмену этими же темами.
Блогу и Роману бабла такие люди не приносят.
Показательным стали высказывания и намеки в бублике, чито из Романа админ, как из говна пуля и рассказы, как правильно делать.
Но при этом (подозреваю) ни один человек за 3 года не написал ему нормально где и какие косяки есть и на что обратить внимание.
Возможно Роман не великий гуру администрирования и сайтостроения, но при таком отношении возникает логичное желание молча или публично послать в жопу всех страдальцев с их личками.
Вангую, что большинству пофиг на эту утечку. Кто желал, тот обезопасился и анонимизировался другими способами.
Чем такой слив может грозить?
Имейте привычку делать разные пароли на сайтах и в платежных сервисах. Пароли заменены, к вам никто не войдет и вашу переписку не увидит. На 11.02.2017 я не получал жалоб на взломы, получение доступов, увод денег со счета и т.д.
Что за коварная Яндекс-метрика?
Ну что вы, очень полезный продукт, позволяет узнать, кто он — мой посетитель. Например, возраст людей, посетивших сайт сегодня:
Или могу узнать адреса страничек, которые долго грузятся, может быть из-за не оптимизированной графики:
Здесь тоже как-то был казус, каким-то образом вышли на локальные адреса участников блога, т.е. кто-то сохранял страницу блога себе на компьютер, но код метрики при запуске страницы связывался по интернету с яндексом и подсказывал, откуда запущен сохраненный файл…
Что-то типа
c:\Document and Settings\User\Котэ\М.-А.-П.html
Резюмируя.
Я сделал свои выводы из ситуации, в том числе о том, кто и зачем выложил эту информацию в паблик, а не сообщив предварительно мне.
Приношу свои извинения тем, кого прямо или косвенно коснулась или просто возмутила эта ситуация.
10 комментариев: Взлом, слив или дыра?
-
Да ладно, все мы люди-человеки. Ни кто от этого не застрахован, главное что все живы и здоровы! А что до якобы слитой информации, так этим воспользоваться смогли единицы (имеется ввиду обычные пользователи), которые врядли изменили в корне живучесть тем!
-
При нормальном раскладе rglogin и rgpass в ссылке из мыла ненужны – достаточно хэша, по которому определяются эти два параметра из базы на стороне сервера.
И что-то мне подсказывает что в rcl-confirmdata опять логин с паролем содержатся, пусть и в зашифрованном виде.-
В несильно зашифрованном виде, надо сказать:
base64.b64decode ( b’dGV0c3tyY2x9MjAxNjIwMTZ7cmNsfWVjY2JjODdlNGI1Y2UyZmUyODMwOGZkOWYyYTdiYWYz’)
tets{rcl}20162016{rcl}eccbc87e4b5ce2fe28308fd9f2a7baf3-
-
Надо хотя бы как-то так:
hashlib.sha1(b»tets{rcl}20162016{rcl}eccbc87e4b5ce2fe28308fd9f2a7baf4″).hexdigest()
’16c47de72c06502aa4ed90565b4765f931c56137′-
А ещё мне тут подумалось, что с логином и/или паролем, содержащим {rcl}, программа косячить будет
-
Абсолютно так же, как в «старой» модели аутентификации при использовании спецсимволов, имеющих для URL специальное назначение типа ?, &, %, /, \, ‘, «. (заранее предвижу, что при размещении сообщения в последней позиции перечисления движок сайта может перекорежить кавычку-лапку в кавычку-елочку; подразумевается лапка, символ с кодом 22 шестнадцатиричное)
-
-
-
-
-
Имейте привычку делать разные пароли на сайтах и в платежных сервисах.
Это главнейший вывод, который следует сделать всем. Даже безотносительно взлома или слива или дыропроникновения. В сети нет 100% гарантии, что нигде никогда ничего не ломанут. Методов масса. Уязвимостей по мере усложнения и утяжеления кода просто за счет возможных ошибок программистов становится все больше. Я уж не говорю про намерянно оставленные backdor’ы. Заинтересованных в получении чужой информации, тоже прибывает день ото дня. Поэтому: на разных ресурсах разные пароли. Особенно если очевидно, что пользователь на сайте 1 и на сайте 2 это один и тот же человек. Не давайте злоумышленникам шанс через один взлом проникнуть на целый набор ресурсов.
А теперь расширю мысль с паролями. Применительно к кашеварству. Иногда некоторые банки или платежные системы пытаются выявить мультиреги или аккаунты, зависимые от одного основного, или в нашей терминологии аффилированных лиц. По общему IP, по характерному поведению, по снятию в один и тех же банкоматах, по одинаковым паролям, присвоенным разным пользователям. Я не заглядывал внутрь архитектуры хранилищ данных в банках, но могу предположить. Поскольку их криптография сертифицирована кем надо (а сертификацией СКЗИ занимается именно «какое надо» ведомство), там все устроено сравнительно правильно. В частности, не хрянятся в явном виде пароли пользователей, а лишь хеш от них. Таким образом, задача прикладного параноика будет состоять в том, чтобы пароли АФЛов были разными. С точки зрения хеша. Или иными словами с точки зрения утилиты, которая будет шерстить базу данных на предмет одинаковых хешей паролей. То есть в бытовом смысле просто хоть немного разными. А хеширование доделает дальше свое дело, и удобные пароли AFL1 и AFL2 после преобразования не будут иметь вообще ничего общего. Что нам и было нужно изначально.
А в прикладном случае ББ делаем для почты пароль например passmail, для файта пароль passbb и радуемся повышению секьюрности. (именно эти пароли использовать не вздумайте! по понятным причинам,ведь они мои)
Be safe!-
Начав банить по совпадающему хэшу, СБ скоро на своей шкуре узнают, сколько сотрудников высшего руководства и их родственников предпочитают пароль «123». Как сисодмин, полагаю, что много.
-
В тройке самых популярных паролей из похожего на названный тобой 12345 и 123456. Если программист достаточно разумен, то он сделает для такого фильтр с условием, что если у 1000 клиентов банка пароль один и тот же, то это просто «популярный» пароль. Если у 10-20, то скорее всего это «куст» растущий из-под какого-либо клиента, но нужно дополнительно проверить иные признаки сходного поведения. И по сврадению хешей на ручной контроль, а не в бан сразу.
-
-
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.
А также в телеграм-канале