[Play] Wyciek danych z oficjalnego forum i bloga

[Dorotea]

Temat poruszany na Telepolis jednak przeszedł bez większego echa: https://www.telepolis.pl/wiadomosci/bez ... iek-danych

Jako użytkowniczka zarówno forum jak i bloga Play jestem zaniepokojona. Nie dostałam żadnej informacji od Play o zdarzeniu, na ich stronie wisi jedynie lakoniczny komunikat: https://forumplay.pl/ a forum jest całkowicie wyłączone.

Co wyciekło

W bazie znaleźć można dane ponad 50 tysięcy użytkowników, którzy korzystali z forum od roku 2012. Dobra wiadomość jest taka, że większość była już od dawna nieaktywna i jest szansa, że ich dane są nieaktualne. Zła jest tak, że baza zawiera dla wszystkich użytkowników:

adres e-mail,
hash hasła,
adres IP,
datę urodzenia.

Dodatkowo część użytkowników postanowiła wypełnić także pola nieobowiązkowe na forum, łącząc swoje konta z kontami Facebooka, ujawniającym tym samym swoje dane personalne z FB.

Co z tymi hashami

Tu robi się ciekawie, ponieważ to pierwszy widziany przez nas wyciek, w którym w bazie pojawiły się hashe Argon2, uznawane dzisiaj za złoty standard przechowywania hashy haseł. Jest to metoda znacząco utrudniająca ich odgadywanie. Niestety w Argonie2 zapisane były tylko hashe haseł zmienionych lub ustalonych po 31 maja 2020. Wcześniejsze hashe także nie są jednak trywialne do złamania – nie rozpoznajemy samego algorytmu, ale są silnie solone, zatem ich masowe łamanie jest mało prawdopodobne.

Aktualizacja 17:00

Jeden z czytelników poinformował nas, że niestety hashe, które nie używały funkcji Argon2, to solone MD5. Oznacza to, że większość tych hashy może jednak zostać w łatwy sposób złamana / odgadnięta.

Źródło cytatu: https://zaufanatrzeciastrona.pl/post/wy ... umplay-pl/

Dane z bazy forum i bloga dostępne są cały czas w Internecie (sieć Tor).

PS. Jeśli dział nieodpowiedni prośba do moderatora o przeniesienie w inne miejsce.

[biala1991]

Też jestem zaskoczona ciszą wokół tego wycieku. Od 7 września trochę już upłynęło, forum Play cały czas zamknięte a na stronie głównej i na FB Play jakby nigdy nic, zero informacji.
Do fioletowych rzadko zaglądam ale nie daje mi spokoju czy dawno temu nie założyłam tam konta przy jakiejś okazji. Nie pamiętam jakie mogłam podać hasło i trochę się martwię, bo może używam je nadal w jakimś ważniejszym miejscu.

Forum, blog, teraz tylko czekać aż wyciekną dane z Play24.
Chętnie zmieniłabym maila do logowania na Play24. Da się to zrobić bez odpinania numerów?

[Remington]

Blog i forum to gotowce, żeby zrobić włam na Play24 hakerzy musieliby się bardziej postarać. Co nie oznacza, że tak się nie stanie

Play już dawno powinien wysłać powiadomienia do osób dotkniętych wyciekiem. Tymczasem milczy.

[biala1991]

Taktyka strusia, schować głowę w piasek i udawać, że nic się nie stało

[Remington]

Co tam struś, to jest prawny obowiązek. Muszą to zrobić tylko dlaczego zwlekają. Jedyne racjonalne wyjaśnienie jest takie, że nie mają pewności kogo dokładnie to dotknęło.

[Dorotea]

Wyciekło ponad 50 tys. rekordów dotyczących ich użytkowników, oni o tym wiedzą. Baza wisi w Internecie, pobranie i weryfikacja jest dziecinnie prosta. Co ciekawe na maila użytego na forum Play (tylko tam używanego i na Telepolis) dostaję zupełnie nowego rodzaju spam:

Cześć!

Jestem hakerem, który ma dostęp do Twojego system operacyjnego.
Mam też pełen dostęp do Twojego konta.

Obserwuję Cię już od paru miesięcy.
Fakty są takie, że zainfekowałem Cię oprogramowaniem przez stronę dla dorosłych.

Jeśli nie wiesz, jak to działa, to już wyjaśniam.
Wirus Trojan daje mi pełen dostęp I kontrolę nad Twoim komputerem, czy innym urządzeniem.
To oznacza, że widzę wszystko na Twoim ekranie, włączam kamerę i mikrofon, ale ty o tym nie wiesz.

Mam również dostęp do wszystkich twoich kontaktów I korespondencji.

Czemu Twój antywirus nie wykrył tego oprogramowania?
Odpowiedź: Mój program używa dysku, uaktualniam jego sygnatury co 4 godziny, więc antywirus milczy.

Wykonałem film, pokazujący, jak się zadowalasz po lewej stronie ekranu, a po prawej film, który wtedy oglądałeś.
Jednym kliknięciem myszy mogę wysłać ten film do wszystkich Twoich emaili i kontaktów w mediach społecznościowych.
Mogę również opublikować dostęp do całej twojej korespondencji i wiadomości, których używasz.

Jeśli chcesz temu zapobiec,
Przelej kwotę 925€ na mój adres bitcoin (jeśli nie wiesz, jak to zrobić, wpisz w Google: Kupienie Bitcoin").

Mój adres bitcoin (BTC Wallet) to:

Po otrzymaniu płatności usunę film i nigdy więcej o mnie nie usłyszysz.
Daję Ci 50 godzin (ponad 2 dni) by zapłacić.
Mam powiadomienie o odczytaniu tej wiadomości, licznik działa wraz z jej otwarciem.

Zgłaszanie tego gdziekolwiek nie ma sensu, ponieważ tego emaila nie można namierzyć, tak samo jak mojego adresu bitcoin.
Nie popełniaj błędów.

Jeśli się dowiem, że podzieliłeś się tą wiadomością z kimś innym, film natychmiast zostanie opublikowany.

Wszystkiego Najlepszego!

Może przypadek, a może nie. Pierwszy raz taki dziwny mail w skrzynce.

[Remington]

Nowego? To lata po sieci od kilku lat. Czasem tylko mówi o włamaniu do routera, a nie do systemu.

Tu jest trochę świeżych zgłoszeń:
https://www.bitcoinabuse.com/reports/1B ... ghXJ2rdqcq

Wyciekło ponad 50 tys. rekordów dotyczących ich użytkowników, oni o tym wiedzą. Baza wisi w Internecie, pobranie i weryfikacja jest dziecinnie prosta.

Trzeba wszystkie rekordy porównać z aktualną bazą i zebrać z niej (aktualnej) adresy e-mail do wysyłki. Jeśli adresy e-mail między bazami się różnią, to trzeba wysłać na nowy adres informację zawierającą w treści informację o starym. Napisanie skryptów za to odpowiadających plus testy. Moim zdaniem, to nie taki banał jak się wydaje.

Gorzej gdy baza nie wisi ogólnodostępnie w necie, wtedy trzeba w ogóle ustalić co i komu wyciekło.

[Dorotea]

Nigdy nie wpadały mi podobne rzeczy na skrzynkę, konto mam wiele lat i nagle takie coś więc nie wykluczam, że maile z wycieku są już w bazach typków co rozsyłają takie śmieci.

Play nie ma żadnego usprawiedliwienia, a porównanie tego co wisi w necie (nie będę podawać linków z oczywistych względów) z kopią zapasową jaką powinni mieć to jest rzecz wykonalna dla średniej klasy fachowca w jeden dzień roboczy. Sądzę, że chowają głowę w piasek.

[habish]

@Remington, jak dla mnie napisałeś mega bzdurę.
Mamy wyciek, od razu ostrzegamy wszystkich mejlowo (tym bardziej że forum i tak nie działa) i niech zmieniają natychmiast hasła, a nie jakieś śmieszne porównywanie bazy danych kogo przeprosić a kogo nie...

[Dorotea]

Do fioletowych rzadko zaglądam ale nie daje mi spokoju czy dawno temu nie założyłam tam konta przy jakiejś okazji. Nie pamiętam jakie mogłam podać hasło i trochę się martwię, bo może używam je nadal w jakimś ważniejszym miejscu.

Nie jesteś osamotniona w rozterkach.

Podejrzewam, że większość użytkowników była nieaktywna od dawna i zapewne do dziś nie wie o wycieku. Niewesoło mogą mieć ci, którzy mieli takie samo hasło do konta i skrzynki pocztowej.

[Remington]

@Remington, jak dla mnie napisałeś mega bzdurę.
Mamy wyciek, od razu ostrzegamy wszystkich mejlowo

Trzeba wiedzieć, których "wszystkich". Informuje się tylko tych, których wyciek dotknął, czyli trzeba ustalić ich kompletną listę. Jeśli wyciek był dnia A to tych zarejestrowanych po dniu A nie ma obowiązku o nim informować. Spójrz ile czasu Virgin ustalał listę klientów dotkniętych wyciekiem. Najpierw wysłali do jednych, a po kilku dniach dosyłali następnym.

[piotrzet]

Niby to T-M miał DC w baraku ale to nie jemu dane wyciekły. Chyba jednak już wolę te baraki niż wyciek danych
Bardzo słabo ze strony Play że w ogóle żadna informacja do użytkowników nie dotrała jedynie lakoiczne info na stronie.

[Remington]

Niby to T-M miał DC w baraku ale to nie jemu dane wyciekły.

To dwie różne kategorie. TM dał wtedy ciała czyimiś decyzjami i to jest bezdyskusyjne. Tu mamy włamanie do systemu informatycznego, zapewne dopiero po kontroli UODO dowiemy się z czyjej winy i jak operator mógł mu zapobiec. Równie dobrze IT Playa mogło ignorować ryzyka, nie robić aktualizacji zabezpieczeń itd., jak i mógł zostać wykorzystany atak typu zero day.

[piotrzet]

Oczywiście, że T-M dał ciała nikt nie mówi, że nie. Fakty są natomiast takie, że przynajmniej klienci nie musieli nic robić. Tutaj trzeba zmieniać wszystkie dane. I to zalecam wszystkim już na wczoraj. Sami nie wiedzą komu co wyciekło. Informacji żadnej.

[Remington]

Moim zdaniem, Play sobie grabi tą sytuacją i to porządnie. Po prostu trwa to zbyt długo, taki Virgin też po wycieku był w totalnym chaosie, ale potrafił jakoś działać i to mimo Świąt. Tymczasem Play nabrał wody w usta, przeciąga wymaganą prawem komunikację, a u nas na forum wstawiając posty ten wątek pomija.

Jak wygląda sprawa tego wycieku na ich Facebooku? Odpisują coś konkretnego, milczą czy kasują posty?

[Dorotea]

Nie zaglądam na Facebooka, ale na Blogu cisza, pytania o wyciek danych pojawiły się i pozostały bez odpowiedzi: https://blogplay.pl/2020/09/obejrzyj-di ... ent-323467

Kilka lat temu usunęłam nadmiarowe dane z Play24 i była to słuszna decyzja...

[matek451]

Bo teraz Sylwerski to ma gdzieś użytkowników BLOGA, Forum Play. Poczytaj to co wypisuje wczesniej na swoim blogu, to jest szczyt chamstw, buty i kpiny z ludzi. Ten blog to zawsze był dla dupowłazów ale odkąd on nastał to zrobił się syf jakich mało no i w końcu się doczekali wycieku danych , w Play od dawna dzieje się źle czego wyrazem były te kanały komunikacji z klientami, po odejściu Gruszki dział PR trafił pod skrzydła pewnych panienek które nie miały zadnej wiedzy w temacie więc szybka równia pochyła i teraz upadek na samo dno.

[KR2615]

Blog i forum to gotowce, żeby zrobić włam na Play24 hakerzy musieliby się bardziej postarać. Co nie oznacza, że tak się nie stanie

Play24 też jest oparty o "gotowca"

[Dorotea]

Przedwczoraj zamieściłam wpis na Blogu z pytaniem o wyciek danych, na dobre utknął w moderacji. Zachowanie Play bardzo nieprofesjonalne.

[biala1991]

Czekają aż sprawa przyschnie, najgorsze że może im się to udać, bez żadnych konsekwencji.

Nie zaglądam na Facebooka, ale na Blogu cisza, pytania o wyciek danych pojawiły się i pozostały bez odpowiedzi: https://blogplay.pl/2020/09/obejrzyj-di ... ent-323467

Kilka lat temu usunęłam nadmiarowe dane z Play24 i była to słuszna decyzja...

Pomimo że do rejestracji numeru wymagany jest tylko Pesel to Play (podobnie zresztą jak pozostali operatorzy) wymaga też nr dowodu. Na Play24 łaskawie go częściowo zamazali ale w systemie gdzieś tam wisi.
Operatorzy bezprawnie pozyskują nr dowodu przy rejestracji niepotrzebnie narażając klientów na większe szkody w razie wycieku. Czemu służy takie nadgorliwe zbieranie danych?
Na forum Play podobno trzeba było podać nazwisko przy zakładaniu konta. Ktoś powie, można skłamać ale po co zmuszać do takich wybiegów? Czy nie lepiej nie żądać danych, które są zbędne?


@Dorotea, jak udało Ci się usunąć nadmiarowe dane z Play24? U mnie próba modyfikacji dowodu czy adresu kończy się skierowaniem do salonu