Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
marcopolo89
Lord
Data rejestracji: 16-03-2009
Postów: 264
Klan: r5: [-Horda-] || r9: [-NBH-] Rasa w grze: Ssak Kraina: Moria II; Moria III Skąd: Ostrołęka
|
|
Na mailu mam inne hasło, ale ktoś próbował się na nie wbić nie wiem jakim sposobem, ale wyskoczył alert, że mój email zachowywał się w dziwny sposób i zostało zablokowane wysyłanie maili. Czyli widocznie ktoś próbował się do niego dobrać jakimś cudem. Z resztą, pewnie większość graczy nie zmienia haseł co i rusz na wszystkich portalach próbując uniknąć włamań na konta. Ale nie zmienia to faktu, że portal który nakazuje graczom przestrzegania regulaminu sama go łamie nie zabezpieczając danych poufnych graczy.
__________________
|
|
13-04-2016 12:35 |
|
|
twardy
Tutorial Mod
Data rejestracji: 10-02-2008
Postów: 4.670
Kraina: Moria III
|
|
jakbys przeczytal pierwszy post... dali mu rozszerzone uprawnienia (w zwiazku z pracami na forum), ale wyciek nastapil poprzez wykorzystanie dziury, wiem, ze ciebie jako uzytkownika to nie interesuje ale watpie, ze zrobili to umyslnie (wiedzac o dziurze w systemie) i z premedytacja (na zlosc uzytkownikom)
dziury w systemach sie zdarzaja, taka banalna prawda
__________________ W tutorialu czegoś nie ma? Trzeba cos zmienić? Napisz w tym temacie
|
|
13-04-2016 12:46 |
|
|
Buc
Operator serwerów Moria i pralki automatycznej
Data rejestracji: 18-12-2006
Postów: 13.255
Klan: BW Team Rasa w grze: Władca Zwierząt Kraina: Moria; Moria VI; Moria S Skąd: Województwo łódzkie
|
|
Z resztą, Konrad pisał, że jeszcze trzeba mieć wiedzę, umiejętności i determinację by hasła złamać i je wykorzystać.
__________________
Wielki, zły Buc
__________________
Oderint, dum metuant
__________________
,,Dorośli nie zasną bez setki, dzieci bez smoczka, a Buc bez bana"
__________________
cytat: |
Buc napisał(a)
cytat: |
MasterOfPuppets napisał(a)
Nie chciałbyś rozzłościć Konrada
|
Nikt by tego nie chciał. Konrad powinien być postacią w baśniach braci Grimm. |
|
|
13-04-2016 12:49 |
|
|
marcopolo89
Lord
Data rejestracji: 16-03-2009
Postów: 264
Klan: r5: [-Horda-] || r9: [-NBH-] Rasa w grze: Ssak Kraina: Moria II; Moria III Skąd: Ostrołęka
|
|
Widocznie komuś się chce skoro inni też mają takie głupie wejścia itp...
Niby luka w systemie, niby nic wielkiego, ale jak ktoś ci spushuje item to i ty dostaniesz bana i ten który pushwał. Więc jaka tutaj jest sprawiedliwość? Co jest wg ciebie bardziej poważne, push za nieistniejący w realu przedmiot czy podebranie danych graczy "podczas prac konserwacyjnych" na serwerach?
__________________
|
|
13-04-2016 12:59 |
|
|
twardy
Tutorial Mod
Data rejestracji: 10-02-2008
Postów: 4.670
Kraina: Moria III
|
|
cytat: |
marcopolo89 napisał(a)
Widocznie komuś się chce skoro inni też mają takie głupie wejścia itp...
Niby luka w systemie, niby nic wielkiego, ale jak ktoś ci spushuje item to i ty dostaniesz bana i ten który pushwał. Więc jaka tutaj jest sprawiedliwość? Co jest wg ciebie bardziej poważne, push za nieistniejący w realu przedmiot czy podebranie danych graczy "podczas prac konserwacyjnych" na serwerach? |
przeczytales jakikolwiek regulamin w zyciu od deski do deski? czy przestajesz czytac w miejscu gdzie zaczyna sie mowa o twojej odpowiedzialnosci wzgledem gry? jak ktos ci pushuje item a ty udajesz sie nic nie stalo to wiadomo, ze bierzesz w tym swiadomy udzial - w takim wypadku ban jest sluszny (jakbys nie wiedzial to istnieje mozliwosc zgloszenia aukcje po jej zakonczeniu, nawet specjalna wiadomosc dostajesz z linkiem)
co ma jedno wspolnego z drugim... Konrad z Sushim maja sie zbanowac? nie ogarniam...
__________________ W tutorialu czegoś nie ma? Trzeba cos zmienić? Napisz w tym temacie
|
|
13-04-2016 13:14 |
|
|
Boba Fett
Junior Member
Data rejestracji: 24-03-2016
Postów: 17
Kraina: Moria VI
|
|
cytat: |
Buc napisał(a)
Z resztą, Konrad pisał, że jeszcze trzeba mieć wiedzę, umiejętności i determinację by hasła złamać i je wykorzystać. |
Co nie zmienia faktu że miesiąc po włamaniu pasowało by nas poinformować co i jak.
Czy było to faktycznie włamanie, czy wyciekło, czy udało się powstrzymać żeby dane nie poszłydalej w świat itd.
Większość graczy na pewno miała inna passy itd. ale zawsze znajdą się tacy co nie mieli.
A w takiej sytuacji jak zaistniałą nie można tego zbagatelizować, tak więc pytamy się jak rozwój sytuacji, bo co jak co ale dotyczy to nas.
|
|
13-04-2016 16:27 |
|
|
Gregorian
Lord
Data rejestracji: 28-10-2007
Postów: 423
Klan: Valhalla Rasa w grze: Ssak Kraina: Necropolia IX Skąd: Stąd
|
|
cytat: |
Boba Fett napisał(a)
cytat: |
Buc napisał(a)
Z resztą, Konrad pisał, że jeszcze trzeba mieć wiedzę, umiejętności i determinację by hasła złamać i je wykorzystać. |
Co nie zmienia faktu że miesiąc po włamaniu pasowało by nas poinformować co i jak.
Czy było to faktycznie włamanie, czy wyciekło, czy udało się powstrzymać żeby dane nie poszłydalej w świat itd.
Większość graczy na pewno miała inna passy itd. ale zawsze znajdą się tacy co nie mieli.
A w takiej sytuacji jak zaistniałą nie można tego zbagatelizować, tak więc pytamy się jak rozwój sytuacji, bo co jak co ale dotyczy to nas. |
To jest data założenia tematu: 20-03-2016 14:33
To jest data założenia twojego konta na forum: Data rejestracji: 24-03-2016
Wyciek miał miejsce miesiąc wcześniej, więc myślę że akurat ciebie totalnie to nie dotyczy... ale co tam warto wtrącić swoje "mądrości życiowe" co nie?
Dajcie spokój. Admini dadzą informację jak zakończyła się sprawa (uwaga to może niektórych zaszokować) PO TYM JAK SPRAWA SIĘ ZAKOŃCZY.
__________________
|
|
14-04-2016 10:57 |
|
|
SushiMaker
Administrator ds. koncepcyjnych
Data rejestracji: 24-05-2006
Postów: 8.743
|
|
|
14-04-2016 12:51 |
|
|
SteelMike1
Emperor
Data rejestracji: 17-02-2009
Postów: 1.088
Rasa w grze: Kultysta Kraina: Necropolia II
|
|
Czyli Buc jest współwinny, ciuś ciuś panie Bucu.
__________________
cytat: |
SushiMaker napisał(a)
Trochę myślenia nie zaszkodzi.
Po co dodawać wszędzie zapytanie: czy jesteś pewien?
Co to, windows ma być? |
Nick w grze: Mike
|
|
14-04-2016 13:43 |
|
|
klogg123 Niezarejestrowany
|
|
cytat: |
Na początku chciałem podziękować użytkownikowi Acrivec za poważne i dojrzałe podejście do zaistniałej sytuacji |
kradnie bazę danych (bo zabieranie cudzych rzeczy bez zgody właściciela, nawet żeby coś naprawić to kradzież) a wy dziękujecie za to xDDD
leżę i rżę ze śmiechu
brawo wy
|
|
14-04-2016 14:30 |
|
|
Acrivec
Żelkowy Troll
Data rejestracji: 27-09-2007
Postów: 1.594
|
|
Prostując jednocześnie posty użytkowników, którym "coś się działo na jakiś kontach" - baza forum ma ponad 80 000 kont - przy tylu użytkownikach nie trudno o nawet 100 osób, którym akurat w tym momencie cokolwiek gdziekolwiek by się coś działo.
Baza nie została nigdzie udostępniona, nie byłem w posiadaniu całej bazy jako takiej (nie dało się pobrać, co może potwierdzić Konrad próbując to robić), a operacje potrzebne do przywrócenia jednego użytkownika i naprawy 2 (koniec końców trzech) użytkowników były wykonywane na plikach tymczasowych danych cząstkowych, więc przestałem posiadać jakiekolwiek dane w momencie wyłączenia komputera w dniu "zajścia".
Jeśli ktoś ma jakąś formę paranoi:
- wszelkie dane na moim komputerze są szyfrowane (nie, nie MD5)
- do zalogowania się potrzeba podania dwóch haseł
- bez posiadania haseł (ponad 20 znakowych) dyski są dyskami pustymi.
Jednocześnie jeśli ktoś miał informacje o próbach dostępu, to tak czy siak polecam zmienić hasła. Nie ze względu na ten "wyciek", a ze względu na fakt, że ktoś się wam dobiera do konta.
Jednocześnie zyskując wiedzę, że hasła są szyfrowane w ten stary sposób, a na tym forum mi zależało i w dalszym ciągu zależy, mam pomysł jak rozwiązać ten problem na forum aby:
- stare hasła działały AŻ DO ZMIANY
- nowe hasła były szyfrowane czymś porządniejszym, np. AES SHA-512
Co zapewni większe bezpieczeństwo waszych danych. Ale to już przekażę Konradowi.
cytat: |
klogg123 napisał(a)
cytat: |
Na początku chciałem podziękować użytkownikowi Acrivec za poważne i dojrzałe podejście do zaistniałej sytuacji |
kradnie bazę danych (bo zabieranie cudzych rzeczy bez zgody właściciela, nawet żeby coś naprawić to kradzież) a wy dziękujecie za to xDDD |
Jeśli uzyskałem dostęp do bazy od Operatora, a zgodnie z ROWU które mnie obwiązuje Operator jest specjalną formą Administratora, a Administrator ma prawo do wglądu i edycji bazy danych, to niczego nie ukradłem. Uzyskałem, jak się okazuje, nieupoważniony dostęp.
To różnica. Spora.
Kradzież by nastąpiła, jakby wystąpiło wykorzystanie luk bezpieczeństwa silnika forum poprzez np. wklejenie złośliwego kodu do layoutu strony i uzyskanie dostępu w ten sposób.
A i w to wątpię aby dało się tak łatwo uzyskać, bo coś takiego byłoby możliwe tylko po ingerencji w pliki bazowe layoutów, do których dostępu nigdy nie miałem.
__________________
Ten post był edytowany 2 raz(y), ostatnio edytowany przez Acrivec: 14-04-2016 16:07.
|
|
14-04-2016 14:37 |
|
|
Acrivec
Żelkowy Troll
Data rejestracji: 27-09-2007
Postów: 1.594
|
|
cytat: |
Naster napisał(a)
cytat: |
Acrivec napisał(a)
Jednocześnie zyskując wiedzę, że hasła są szyfrowane w ten stary sposób, a na tym forum mi zależało i w dalszym ciągu zależy, mam pomysł jak rozwiązać ten problem na forum aby:
- stare hasła działały AŻ DO ZMIANY
- nowe hasła były szyfrowane czymś porządniejszym, np. AES
|
Więc mówisz że teraz hasła są szyfrowane a nie haszowane, a co więcej w przyszłości będą lepiej szyfrowane? |
Naprzemienne używanie pojęć, nie do końca poprawne co prawda. Wiesz o co mi chodzi, prawda?
/edit: Gwoli ścisłości, wiem, że hashowanie nie umożliwia powrotu do oryginalnych danych (no, przynajmniej to poprawne / nie złamane), a szyfrowanie umożliwia. Po prostu szyfrowanie jakoś tak bardziej wg. mnie przedstawia zagadnienie - chodzi o ukrycie danych.
A przykład algorytmu oczywiście też niepoprawny, lepszy byłby jakiś SHA-512 czy coś./
Nie mówię w żadnym wypadku o jakiejś próbie deszyfrowania starych haseł, a o mechanizmach umożliwiających płynne przejście na coś bezpieczniejszego.
Konrad już nad tym pracuje, tylko silnik forum jest starszy od dinozaurów i będzie z tym więcej roboty niż myślałem.
__________________
Ten post był edytowany 2 raz(y), ostatnio edytowany przez Acrivec: 14-04-2016 15:13.
|
|
14-04-2016 15:04 |
|
|
Naster
Emperor
Data rejestracji: 23-06-2007
Postów: 1.243
Kraina: Moria Skąd: 127.0.0.1
|
|
cytat: |
Acrivec napisał(a)
cytat: |
Naster napisał(a)
cytat: |
Acrivec napisał(a)
Jednocześnie zyskując wiedzę, że hasła są szyfrowane w ten stary sposób, a na tym forum mi zależało i w dalszym ciągu zależy, mam pomysł jak rozwiązać ten problem na forum aby:
- stare hasła działały AŻ DO ZMIANY
- nowe hasła były szyfrowane czymś porządniejszym, np. AES
|
Więc mówisz że teraz hasła są szyfrowane a nie haszowane, a co więcej w przyszłości będą lepiej szyfrowane? |
Naprzemienne używanie pojęć, nie do końca poprawne co prawda. Wiesz o co mi chodzi, prawda?
/edit: Gwoli ścisłości, wiem, że hashowanie nie umożliwia powrotu do oryginalnych danych (no, przynajmniej to poprawne / nie złamane), a szyfrowanie umożliwia. Po prostu szyfrowanie jakoś tak bardziej wg. mnie przedstawia zagadnienie - chodzi o ukrycie danych.
A przykład algorytmu oczywiście też niepoprawny, lepszy byłby jakiś SHA-512 czy coś./
Nie mówię w żadnym wypadku o jakiejś próbie deszyfrowania starych haseł, a o mechanizmach umożliwiających płynne przejście na coś bezpieczniejszego.
Konrad już nad tym pracuje, tylko silnik forum jest starszy od dinozaurów i będzie z tym więcej roboty niż myślałem. |
To już lepiej brzmi
__________________
"Siła bez sprawiedliwości to przemoc. Sprawiedliwość bez siły to nieudolność"
|
|
14-04-2016 15:19 |
|
|
Dwim
Viking
Data rejestracji: 02-08-2010
Postów: 537
Rasa w grze: Kultysta Kraina: Necropolia VI
|
|
Problemem jest to, że w ogóle do takiej sytuacji doszło. Według mnie buc powinien ponieść jakieś konsekwencje, dał dostęp do ważnych danych komuś nieupoważnionemu. Tym razem trafiło na mam nadzieję uczciwą osobę, ale w przyszłości podobne wybryki z dobrych chęci mogą się nie zakończyć tak szczęśliwie.
|
|
14-04-2016 15:59 |
|
|
searcher
Najlepszy gracz BW 2015
Data rejestracji: 17-09-2015
Postów: 835
Rasa w grze: Ssak Kraina: Moria VII
|
|
cytat: |
Acrivec napisał(a)
cytat: |
klogg123 napisał(a)
cytat: |
Na początku chciałem podziękować użytkownikowi Acrivec za poważne i dojrzałe podejście do zaistniałej sytuacji |
kradnie bazę danych (bo zabieranie cudzych rzeczy bez zgody właściciela, nawet żeby coś naprawić to kradzież) a wy dziękujecie za to xDDD |
Jeśli uzyskałem dostęp do bazy od Operatora, a zgodnie z ROWU które mnie obwiązuje Operator jest specjalną formą Administratora, a Administrator ma prawo do wglądu i edycji bazy danych, to niczego nie ukradłem. Uzyskałem, jak się okazuje, nieupoważniony dostęp.
To różnica. Spora.
Kradzież by nastąpiła, jakby wystąpiło wykorzystanie luk bezpieczeństwa silnika forum poprzez np. wklejenie złośliwego kodu do layoutu strony i uzyskanie dostępu w ten sposób.
A i w to wątpię aby dało się tak łatwo uzyskać, bo coś takiego byłoby możliwe tylko po ingerencji w pliki bazowe layoutów, do których dostępu nigdy nie miałem. |
cytat: |
Konrad napisał(a)
Drodzy Gracze,
informujemy, że 11 marca 2016 roku były już Smod wykorzystując luki w zabezpieczeniach panelu admina forum oraz rozszerzone uprawnienia w związku z wykonywanymi pracami technicznymi na forum zapisał i pobrał na swój komputer kopię backupu bazy danych polskiego Oficjalnego Forum BW. |
teraz ręka rękę myje, no spoko
__________________ Chlastam się co dwa miesiące, a Ty?
Nie klikaj!
|
|
14-04-2016 17:57 |
|
|
sooka
Triple Ace
Data rejestracji: 10-06-2009
Postów: 200
Klan: Saints Kraina: Necropolia III; Necropolia IX
|
|
Co więcej DOBROWOLNIE zgodził się podpisać klauzule bezpieczeństwa jakie obowiązują naszych pracowników oraz usunąć wszelkie wrażliwe dane ze swojego komputera.
no i?
przecież pracownikiem nie jest
|
|
14-04-2016 22:20 |
|
|
bla_bla_bla
Viking
Data rejestracji: 19-09-2015
Postów: 732
Kraina: Necropolia Skąd: BW → Bloody Warns
|
|
cytat: |
SushiMaker napisał(a)
Na początku chciałem podziękować użytkownikowi Acrivec za poważne i dojrzałe podejście do zaistniałej sytuacji dzięki czemu udało się całe zdarzenie bardzo szybko rozwiązać. |
Jeszcze kilka dni, a okaże się, że Acrivec swoimi nieautoryzowanymi działaniami tak niebywale przyczynił się do podniesienia poziomu bezpieczeństwa forum, że w nagrodę nie dość że zostanie przywrócony w szeregi Teamu, to jeszcze dostanie awans na Opa
cytat: |
SushiMaker napisał(a)
- Wszyscy użytkownicy forum otrzymali informację z prośbą o zmianę haseł i krótkim opisem zdarzenia. |
Szkoda tylko, że na pomysł mass-mejlingu wpadliście dopiero po ochrzanie w tymże wątku...
Swoją drogą to ciekawe, że newslettery na mejla przypisanego do zbanowanego na forum konta jakoś dochodzą, a informacji o wycieku już na rzeczoną skrzynkę nie dostałem (co, szkoda było zasobów serwera pocztowego, czy to tylko takie małe "niedopaczonko"?) - wiem, bo przed chwilą sprawdziłem... Odbieram to jako jasny sygnał tego, że wolicie się promować (nawet wśród userów, których sami zbanowaliście), niźli wyjść z twarzą wysyłając informację o przypale WSZYSTKIM BEZ WYJĄTKU... Nieładnie, oj nieładnie...
cytat: |
SushiMaker napisał(a)
- W następnych dniach nasza Kancelaria prawna poinformowała GIODO o zaistniałym zdarzeniu. |
To już nawet własnej kancelarii prawnej się dorobiliście?
Oczywiście chciałeś napisać "kancelaria prawna, z której usług czasem korzystamy, poinformowała GIODO o zaistniałym zdarzeniu";]
cytat: |
SushiMaker napisał(a)
Tutaj jeszcze raz chciał bym podkreślić, że zgodnie z naszą wszelką wiedzą użytkownik Acrivec nie miał złych intencji. |
Powiadają, że "dobrymi chęciami piekło jest wybrukowane";]
cytat: |
SushiMaker napisał(a)
Co więcej DOBROWOLNIE zgodził się podpisać klauzule bezpieczeństwa jakie obowiązują naszych pracowników oraz usunąć wszelkie wrażliwe dane ze swojego komputera. |
cytat: |
Acrivec napisał(a)
(...) a operacje potrzebne do przywrócenia jednego użytkownika i naprawy 2 (koniec końców trzech) użytkowników były wykonywane na plikach tymczasowych danych cząstkowych, więc przestałem posiadać jakiekolwiek dane w momencie wyłączenia komputera w dniu "zajścia". |
Mieliście miesiąc czasu i nie ustaliliście jednej, spójnej wersji wydarzeń?Oo
__________________
cytat: |
Co jest tej, lepiej postaw litr, siadaj, gadaj co masz
Polej raz i pij, albo będzie peace albo damy se w pysk
Nie powiedziałeś tego w ryj to jakbyś chłopcze znikł |
Ten post był edytowany 1 raz(y), ostatnio edytowany przez bla_bla_bla: 15-04-2016 20:19.
|
|
14-04-2016 23:15 |
|
|
kiraki
Newbie
Data rejestracji: 30-05-2016
Postów: 1
|
|
))))))))))))))))))))))))))))))))))))
+1 za spam
|
|
30-05-2016 13:35 |
|
|
Grax33
Emperor
Data rejestracji: 19-09-2008
Postów: 1.143
Klan: Najlepszy!:) Rasa w grze: Kultysta Kraina: Necropolia Skąd: R1 nick: Grax
|
|
|
30-05-2016 15:32 |
|
|
|