Olcsók a feltört magyar weboldalak - UPDATE
Igen népszerű lett az előző „Olcsók a feltört magyar weboldalak” című poszt, amelyben arról írtunk, hogy egy orosz fórum piacterén több, mint 3000 feltört weboldalhoz kínálnak hozzáférést, amelyek között magyar oldalak is akadnak.
Sok megkeresés érkezett a témában, sok kérdést kaptunk, illetve egy érdekes és figyelemfelkeltő fejleményről is be tudunk számolni.
A legfontosabb, hogy sokan kérték a linket a piactérhez, amelyet sajnos (legalább) két okból sem tudunk megadni:
- A legfontosabb, hogy semmiképpen nem akarunk ilyen oldalakat reklámozni, nem akarunk publicitást csinálni nekik. Azok, akik esetleg azért kérték a címet, hogy ellenőrizzék, hogy a saját oldaluk rajta van-e a listán megnyugodhatnak: ha nem kaptak tőlünk értesítést, akkor nem szerepelnek EZEN a listán (persze máshol még szerepelhetnek).
- A másik ok, hogy a legtöbb ilyen forrás a dark weben található (na most ez spec. pont kivétel, de az elv akkor is ugyanaz), oda pedig csak az menjen, aki tudja is, hogy mit csinál: nem ezek az oldalak a web legbiztonságosabb és legtisztább helyei, és nem szeretnénk, ha bárki esetleg megfertőződne, vagy ilyesmi. Javasolt az ilyen helyeket alaposan felszerelt és beállított védelem mellett látogatni.
Akit esetleg érdekelne a kiszivárgott információk vadászata, annak Balu kollégával ajánljuk az ebben a témakörben tartandó Hacktivity előadásunkat (és persze minden más Hacktivity előadást, gyertek el, ennél jobb és szakmaibb IT biztonsági rendezvény nemigen van itthon!). A Hacktivity rendezvényt itt érheted el: https://www.hacktivity.com/
Fejlemény
Érdekes és tanulságos fejlemény derült ki, ami magyarázattal szolgálhat arra, hogy honnan szerezték meg esetleg az érintett weboldalak adminisztrációs felhasználóját és jelszavát (emlékeztek, van, ahol az admin felülethez lehet hozzáférést vásárolni).
Az ok az Account Takeover-ben, azaz az ATO-ban keresendő, azaz a kiszivárgott felhasználó nevek és jelszavak gyűjtése itt is kifizetődő volt: az egyik magyar weboldal tulajdonosával beszélve további ellenőrzést végeztünk és kiderült, hogy azzal a felhasználóval, amellyel a saját weboldaluk admin felületébe jelentkeznek be, más oldalra is regisztráltak felhasználóként, amelyből aztán valaki valamikor jól el is vitte a felhasználói adatbázist – azzal együtt pedig a saját weboldaluk adminisztratív hozzáférését.
Tehát a „Password reuse” probléma – azaz egy felhasználó/jelszó használata több alkalmazásban,- itt azzal járt, hogy a végén a saját weboldaluk kompromittálódott.
Ismét el kell mondani, hogy lehetőleg minden egyes alkalmazáshoz MÁS JELSZÓT használjanak a kedves felhasználók, ezzel nagymértékben csökkenthető annak a kockázata, hogy egy hozzáférés megszerzésével több alkalmazáshoz is hozzáférhet a rosszfiú vagy rosszlány (esetleg rossz* - hogy polkorrektek legyünk).