Z RockYou skradziono dane 30 mln kont

Niezidentyfikowani na razie przestępcy zdołali włamać się do bazy danych firmy RockYou, specjalizującej się w aplikacjach dla użytkowników serwisów społecznościowych. Trwa już dochodzenie w tej sprawie - na razie wiadomo, że włamywacza na pewno zdołali zdobyć loginy i hasła ponad 30 mln użytkowników.

Sprawa jest bardzo poważna, bo domyślnymi loginami w RockYou były nazwy kont w popularnych serwisach pocztowych - m.in. Gmail, Yahoo czy Hotmail (a ponieważ wielu internautów ma brzydki zwyczaj korzystania w wielu usługach z tych samych haseł, to przestępcy mogą uzyskać dostęp do ich kont pocztowych).

RockYou oferuje tzw. widgety, z których masowo korzystają użytkownicy Facebooka, MySpace, Friendstera czy Orkuta - przedstawiciele firmy twierdzą, że produktów używa ok. 130 mln osób miesięcznie.

Firma na razie nie odpowiedziała na żadne z pytań, przesłanych do niej przez naszych kolegów z amerykańskiego Computerworlda. W oświadczeniu, przesłanym wczoraj do serwisu TechCrunch.com (który jako pierwszy poinformował o włamaniu), przedstawiciele RockYou przyznali, że włamano się do ich bazy danych i że liczba osób, których dane przejęto, może przekraczać 30 mln. Firma dowiedziała się o tym 4 grudnia - wtedy też natychmiast wyłączono jej serwis internetowy, zaś jej pracownicy zabrali się za usuwanie luki w zabezpieczeniach, która umożliwiła przeprowadzenie ataku.

Włamanie wykryto krótko po tym, jak z administratorami RockYou skontaktowali się przedstawiciele firmy Imperva (zajmującej się bezpieczeństwem informatycznym), którzy wykryli na stronie Rockyou.com poważny błąd typu SQL injection. "O luce dowiedzieliśmy się od przestępców - jeden z naszych pracowników natrafił na tę informację podczas rutynowego monitorowania forów i czatów wykorzystywanych przez cyberprzestępców" - mówi Amichai Shulman, szef działu technologicznego Imperva.

Krótko później pełne informacje na ten temat przekazano RockYou - w przesłanym raporcie specjaliści z Imperva opisali, jak owa luka może zostać wykorzystana przez przestępców do uzyskania pełnego dostępu do bazy danych firmy. "Nie dostaliśmy wtedy żadnej odpowiedzi. Co więcej - wbrew temu, co ludzie z RockYou napisali w swoim oświadczeniu, nie jest prawdą to, że od razu wyłączyli serwis. Sprawdzaliśmy to - strona działała jeszcze co najmniej dzień po tym, jak informacja o luce trafiła do RockYou" - dodaje Shulman.

W tym czasie przestępcy już mieli dostęp do bazy danych i kopiowali z niej dane użytkowników. Włamywacze twierdzą, że przejęli ponad 32 mln loginów i haseł (i że były one zapisane w bazie danych "czystym" tekstem). Na razie nie zostały one nigdzie opublikowane - ale niewykluczone, że do tego dojdzie. Jeden z włamywaczy przesłał do firmy komunikat - napisał w nim m.in. "Nie okłamujcie swoich klientów - jeśli to zrobicie, opublikuję wszystko".

Shulman podkreśla, że ten incydent jest kolejnym dowodem na to, że wiele firm wciąż jest narażonych na ataki typu SQL Injection - są one poważnym zagrożeniem od dobrych kilku lat. W tym konkretnym przypadku szczególnie niepokojące jest to, że informacje zapisane w bazie danych nie były w żaden sposób zabezpieczone (np. zaszyfrowane). Dzięki temu przestępcy mogą bez problemu logować się na konta użytkowników RockYou lub próbować uzyskać dostęp do ich kont pocztowych.

Co ciekawe, zdaniem Gretchen Hellman - wiceprezes firmy Vormetric - włamywacze nie mieli prawdopodobnie złych intencji. Wszystko wskazuje na to, że celem włamania było raczej zwrócenie uwagi na poważne błędy w zabezpieczeniach serwisu RockYou.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200