Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
Konrad
Administrator ds. technicznych
Data rejestracji: 24-05-2006
Postów: 13.388
Klan: BW Team Skąd: localhost
|
|
Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
|
Drodzy Gracze,
informujemy, że 11 marca 2016 roku były już Smod wykorzystując luki w zabezpieczeniach panelu admina forum oraz rozszerzone uprawnienia w związku z wykonywanymi pracami technicznymi na forum zapisał i pobrał na swój komputer kopię backupu bazy danych polskiego Oficjalnego Forum BW.
Pomimo, że nie zakładamy z góry w jego działaniu złej woli czy celowego działania na czyjąś szkodę, to nie możemy tego wykluczyć. Dlatego mając na uwadze Wasze bezpieczeństwo, informujemy Was o tym najszybciej jak się da, po konsultacji z prawnikiem oraz uzyskaniem pewności, że taka sytuacja faktycznie miała miejsce i była dokonana przez ww osobę.
Dziura umożliwiająca tę operację została niezwłocznie załatana, jednak osoba mająca backup bazy ma nie tylko dostęp do wszystkich postów na forum, ale również do innych danych, w tym adresów e-mail, adresów IP i ZASZYFROWANYCH haseł.
Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych). Obowiązuje tu zasada, że im hasło "silniejsze" tym trudniej je złamać. Natomiast hasła bardzo słabe np słowa, które można znaleźć w słowniku, są możliwe do złamania w bardzo krótkim czasie.
W związku z tym zajściem prosimy wszystkich użytkowników forum o zmianę dotychczasowego hasła na forum.
Osoby używające tego samego hasła jak do forum w innych serwisach proszone są o zmianę hasła we wszystkich miejscach by zachować 100% bezpieczeństwa.
Poniżej zamieszczamy odpowiedzi na pytania, które z pewnością się pojawią:
Czy wyciekło coś poza danymi z bazy danych forum?
Odp: Forum stało na osobnym serwerze, w tym momencie z logów nie wynika, by zostały wykradzione jakiekolwiek inne dane.
Czy trzeba zmieniać swoje hasło również w grze?
Odp: Tylko wtedy, jeśli było takie same jak hasło do konta na forum. W innym przypadku nie ma takiej konieczności.
Czy powinienem/powinnam zmienić swoje hasła w innych serwisach?
Odp: Jeśli były takie same jak hasło do konta na forum BW, to TAK. W innym przypadku nie ma takiej konieczności.
Skąd możemy mieć pewność, że nie wydarzy się to po raz kolejny?
Odp: 100% pewności nigdy nie ma, historia pokazuje, że nawet usługi od lat uznawane za bezpieczne mogą być podatne na ataki. Niemniej obecnie funkcje dostępu do bazy są zupełnie wyłączone, nawet osoba z uprawnieniami (w tym administratorzy) nie ma do nich dostępu poprzez panel administracyjny. Upewniliśmy się, że tego działania nie będzie się dało powtórzyć w żaden możliwy sposób.
Co zamierzacie z tym dalej zrobić?
Odp: Póki co informujemy Was, bo to Wy jesteście narażeni na potencjalne skutki. Zupełnie nie wyobrażamy sobie sytuacji, w której dowiadujecie się o tak ważnej rzeczy z drugiej czy trzeciej ręki. Aktualnie trwają konsultacje z prawnikami, w poniedziałek prawdopodobnie podejmiemy decyzję dotyczącą dalszych kroków prawnych, w szczególności dotyczących obowiązku zgłoszenia zdarzenia do stosownych instytucji państwowych.
Na koniec chcielibyśmy wszystkich przeprosić za to zajście. Zdajemy sobie sprawę, że być może wycieku danych dałoby się uniknąć, gdybyśmy dokładniej przeanalizowali zabezpieczenia forum i przewidzieli scenariusz, że osoba która zostaje Super Moderatorem wykorzystuje tą funkcję do uzyskania nieuprawnionego dostępu do przechowywanych przez nas danych.
Jest nam niezmiernie przykro, że taka sytuacja miała miejsce.
Jednocześnie chcemy być zupełnie otwarci w tej sprawie, więc w poniedziałek postaramy się odpowiedzieć na Wasze pytania i wątpliwości dotyczącego tego zdarzenia.
__________________
|
|
20-03-2016 14:33 |
|
|
searcher
Najlepszy gracz BW 2015
Data rejestracji: 17-09-2015
Postów: 835
Rasa w grze: Ssak Kraina: Moria VII
|
|
Czy zostaną cofnięte zmiany, których dokonała dana osoba z forum? Byłoby mi to bardzo na rękę , ponieważ nie podoba mi się jego "dzieło"
Dzięki za info, to teraz idę zmieniać hasła i maile.
__________________ Chlastam się co dwa miesiące, a Ty?
Nie klikaj!
|
|
20-03-2016 14:52 |
|
|
hong
Lord
Data rejestracji: 28-08-2007
Postów: 350
Klan: LoS Kraina: Necropolia
|
|
Zdarzyło się to 11 marca a Wy dajecie jakiekolwiek informacje 9 dni później? Mogliście do kwietnia poczekać, a co tam
|
|
20-03-2016 14:54 |
|
|
mlesniak
Viking
Data rejestracji: 08-12-2007
Postów: 673
Klan: Bractwo Nocnych Kruków, Night Mare Rasa w grze: Kultysta Kraina: Necropolia II
|
|
czy ujawnicie kto dokładnie dokonał kradzieży z obsługi forum? czy dla dobra śledztwa nie będziecie ujawniać takiej informacji? chodzi o nick i jakie stanowisko obsługiwał na forum? i czy dokładniej teraz będzie dobierana kadra forum?
__________________ Mlesniak i wszystko jasne
|
|
20-03-2016 15:03 |
|
|
creepy
Forum Ace
Data rejestracji: 18-10-2015
Postów: 97
|
|
Hasło mam od dłuższego czasu i jak mam teraz zapamiętać nowe hasło?
Znowu żeście coś spartolili i ja mam cierpieć.. ehh
PS. Trzeba było poczekać do października albo w ogóle tego nie pisać -.-
__________________
cytat: |
SushiMaker napisał(a)
Samo nazywanie kogoś "typem" też jest obraźliwe i agresywne. |
|
|
20-03-2016 15:03 |
|
|
RwaczMałolat
Lord
Data rejestracji: 22-06-2008
Postów: 461
Klan: Dracula/Illuminati Rasa w grze: Ssak Kraina: Moria; Moria III
|
|
dla dobra wszystkich powinniscie jak najszybciej ujawnic która to osoba pozyskała te dane. MOże to ograniczyc "zle intencje" tejże osoby.
__________________ r2: RwaczMalolat - Zabójca (oddane)
r9: Tristan - Łowca / Łowca Skarbów
r17: Tristan - Mnich (skasowane)
"Bloodwars - Nie dla idiotów"
a jednak...
|
|
20-03-2016 15:03 |
|
|
:Aureliusz:
Emperor
Data rejestracji: 12-08-2007
Postów: 1.030
Klan: zMrok Kraina: Moria II Skąd: Dziki Zachód
|
|
Nic dziwnego, że dostał rangę Trolla
Jak miałby coś zrobić z kontami mógł to zrobić właśnie przez ten czas, który miną aż do dziś. Mając takie rzeczy co on może zrobić ?
|
|
20-03-2016 15:11 |
|
|
Veltaxio
King
Data rejestracji: 27-10-2008
Postów: 865
Kraina: Necropolia
|
|
mnie ciekawi jak doszliscie do tego ze pobral cokolwiek na swoj komputer ;d
__________________
|
|
20-03-2016 15:23 |
|
|
slash3r
Viking
Data rejestracji: 25-01-2008
Postów: 542
Klan: SIEGE-TEAM Rasa w grze: Ssak Kraina: Moria III Skąd: Słupsk/Gdynia
|
|
|
20-03-2016 15:29 |
|
|
DrizztDoUrden
Forum Legend
Data rejestracji: 26-03-2007
Postów: 1.871
Kraina: Necropolia X Skąd: Dokąd?? I z kim??
|
|
cytat: |
Veltaxio napisał(a)
mnie ciekawi jak doszliscie do tego ze pobral cokolwiek na swoj komputer ;d |
Dokładnie o to samo chciałem zapytać ... i co na to ten koleś który pobrał te dane ... dalej są w jego posiadaniu?
|
|
20-03-2016 15:30 |
|
|
klogg123 Niezarejestrowany
|
|
cytat: |
searcher napisał(a)
cytat: |
mlesniak napisał(a)
czy ujawnicie kto dokładnie dokonał kradzieży z obsługi forum? czy dla dobra śledztwa nie będziecie ujawniać takiej informacji? chodzi o nick i jakie stanowisko obsługiwał na forum? i czy dokładniej teraz będzie dobierana kadra forum? |
cytat: |
RwaczMałolat napisał(a)
dla dobra wszystkich powinniscie jak najszybciej ujawnic która to osoba pozyskała te dane. MOże to ograniczyc "zle intencje" tejże osoby. |
ten koleś: Acrivec
to zły człowiek jest. zwykle bał się otwartej dyskusji(np. z blablabla), podejrzany typ. |
a tak zupełnie z ciekawości - czemu on nie ma zablokowanego konta? xD
|
|
20-03-2016 15:36 |
|
|
XantaX
Newbie
Data rejestracji: 20-02-2011
Postów: 6
Kraina: Necropolia IX Skąd: WKZ
|
|
rozumiem, ze zgłoszenie zostało wysłane do GIODO?
|
|
20-03-2016 16:11 |
|
|
KINTARO2
Triple Ace
Data rejestracji: 02-06-2010
Postów: 211
Kraina: Necropolia VI
|
|
Co na to KOD? Zrobi jakąś demonstrację?
__________________
Żyć jest bardzo niezdrowo. Kto żyje ten umiera.
R10 - KINTARO
Miszcz ciętej riposty
|
|
20-03-2016 16:33 |
|
|
krzaczek
Triple Ace
Data rejestracji: 28-12-2013
Postów: 154
Klan: BS Kraina: Moria
|
|
A co jak zacznie do mnie splywac jakiś spam bo ten ludek sprzeda mój adres mailowy ktorego u was uzywałem ? Czy będziecie coś z tym robić ? czy raczej tylko się uśmiechniecie i powiecie "ojej" ??
Zgodnie z polskim prawem powierzając wam swoje dane osobowe w tym adres mailowy stajecie się jednostką która go przetwarza zgodnie z obowiązującymi zasadani czyli tzw administratorem danych. Jeżeli dane te zostały skradzione, to oznacza że nie zostały odpowiednio zabezpieczone czyli nie dopełniliście przewidzianego przez ustawodawce obowiązku należytej opieki.
Czy zdajecie sobie sprawe z odpowiedzialności która na was ciąży z tego powodu?
Pozdrawiam i mam nadzieje że dane zostały odzyskane i nie przekazane dalej...
|
|
20-03-2016 16:41 |
|
|
barti93
Emperor
Data rejestracji: 20-01-2012
Postów: 1.333
Klan: KoDeX Kraina: Necropolia II Skąd: Warszawa
|
|
mial dostep to skorzystal, wielkie mi halo.. wy jeszcze nie wiecie ile dziur macie z poziomu newbie a co dopiero z poziomu admina.
__________________
r3 barthi
|
|
20-03-2016 16:41 |
|
|
Trova
Turbodoładowana spamiarka forumowa
Data rejestracji: 28-01-2009
Postów: 2.605
Kraina: Necropolia IV Skąd: Zgorzelec
|
|
To na serio Acrivec zrobił? xD
Czym go zdenerwowaliście, że to zrobił?
nie przedłużyliście mu umowy o Smoda? xD
Skoro miał dostep tylko do bazy danych forum, to raczej wiele nie namiesza z tym ;p
Jakby dostał się do kont w grze, to by było gorzej
ale co teraz zrobi? wyśle maila z mojego konta do administracji obrażając ich? XD
__________________ Nick R6 Włóczykij
cytat: |
SushiMaker napisał(a)
Z uwagi na obecny stan kodu BW (jak by kupa trafiła w wentylator) |
|
|
20-03-2016 16:48 |
|
|
krzaczek
Triple Ace
Data rejestracji: 28-12-2013
Postów: 154
Klan: BS Kraina: Moria
|
|
Myślę że więcej niż połowa graczy nie zdaje sobie sprawy z tego jakie to jest poważne...
I co w ramach przeprosin będzie 50 lucka albo sklep z "pamiatkami" w grze? haha... Nie mówiąc o tym że sprawa miała miejsce 9 dni temu.. do tego czasu można bardzo dużo złego zrobić..
Wiem jedno. Jak tylko dostane spam => GIODO => prokuratura i wtedy zobaczymy co wasz "prawnik" na to powie
|
|
20-03-2016 17:05 |
|
|
_KING_
Viking
Data rejestracji: 04-07-2011
Postów: 639
Kraina: Moria III; Moria IV
|
|
Jest tu ktoś obeznany w prawie? Może jakiś pozew zbiorowy czy coś w tym rodzaju? Pozywałbym
|
|
20-03-2016 17:07 |
|
|
Drakanus
Lord
Data rejestracji: 26-10-2007
Postów: 497
|
|
cytat: |
Trova napisał(a)
To na serio Acrivec zrobił? xD
Czym go zdenerwowaliście, że to zrobił?
nie przedłużyliście mu umowy o Smoda? xD
Skoro miał dostep tylko do bazy danych forum, to raczej wiele nie namiesza z tym ;p
Jakby dostał się do kont w grze, to by było gorzej
ale co teraz zrobi? wyśle maila z mojego konta do administracji obrażając ich? XD |
W zależnosci co zawierała baza.. jeśli mail + hasło + nick.. to:
np. może zalogować się na dużą część kont mailowych.. tam odzyskać dane do innych serwisów//serwisów bankowych etc. - resztę scenariusza nie muszę przedstawiać..
Prosiłbym administrację o informację jakie dane były w wykradzionej bazie danych..
|
|
20-03-2016 17:08 |
|
|
Pan Stonoga
Full Member
Data rejestracji: 27-02-2016
Postów: 59
|
|
nareszcie jeden /*****/ z modów został usunięty, jeszcze tylko kilku
Xzar: usunięcie obraźliwego określenia
__________________ Rakieta cwelu
|
|
20-03-2016 17:21 |
|
|
raszu1
Triple Ace
Data rejestracji: 04-01-2008
Postów: 157
Kraina: Necropolia Skąd: Katowice
|
|
|
20-03-2016 17:55 |
|
|
juen
Viking
Data rejestracji: 15-08-2006
Postów: 662
Kraina: Necropolia Skąd: KRK
|
|
cytat: |
krzaczek napisał(a)
Myślę że więcej niż połowa graczy nie zdaje sobie sprawy z tego jakie to jest poważne...
I co w ramach przeprosin będzie 50 lucka albo sklep z "pamiatkami" w grze? haha... Nie mówiąc o tym że sprawa miała miejsce 9 dni temu.. do tego czasu można bardzo dużo złego zrobić..
Wiem jedno. Jak tylko dostane spam => GIODO => prokuratura i wtedy zobaczymy co wasz "prawnik" na to powie |
a jakby ktos ukradl Twoje auto i nim przejechal kogos to rozumiem, ze Ciebie mieli by za to zamknac, a nie zlodzieja?
__________________ http://forum.bloodwars.interia.pl/board.php?boardid=433 mody do bw!
Amiga Rulez!
|
|
20-03-2016 18:04 |
|
|
krzaczek
Triple Ace
Data rejestracji: 28-12-2013
Postów: 154
Klan: BS Kraina: Moria
|
|
cytat: |
Originally posted by juen
cytat: |
krzaczek napisał(a)
Myślę że więcej niż połowa graczy nie zdaje sobie sprawy z tego jakie to jest poważne...
I co w ramach przeprosin będzie 50 lucka albo sklep z "pamiatkami" w grze? haha... Nie mówiąc o tym że sprawa miała miejsce 9 dni temu.. do tego czasu można bardzo dużo złego zrobić..
Wiem jedno. Jak tylko dostane spam => GIODO => prokuratura i wtedy zobaczymy co wasz "prawnik" na to powie |
a jakby ktos ukradl Twoje auto i nim przejechal kogos to rozumiem, ze Ciebie mieli by za to zamknac, a nie zlodzieja? |
Mylisz przyjacielu pojęcia.
W tym wypadku to jest jakbyś dał kluczyki do auta i ta osoba by kogoś przejechała... ale to i tak ma się jak pięść do oka...
Bardziej bym szukał innej analogii. Masz broń zarejestrowaną na ciebie i dajesz ją koledze a on kogoś z niej zabija. Niestety i on i ty a przede wszystkim ty za to odpowiesz bo nienależycie ją zabezpieczyłeś. Tak mniej więcej wygląda przypadek który się tu wydarzył
|
|
20-03-2016 18:27 |
|
|
Damjan
Emperor
Data rejestracji: 24-07-2008
Postów: 1.327
Klan: Ku Klux Rasa w grze: Ssak Kraina: Moria II; Necropolia IV Skąd: mam wiedziec czego chcesz ode mnie?
|
|
Sh*t happens, ale z niektórych niezła cebula już wychodzi, pozwy zbiorowe
eventy, jeszcze większe
Padają o wiele lepiej zabezpieczone rzeczy (Apple, Sony) niż małe forum gry postawione na starej templatce, a i tak wyciek nie jest jakiś drastyczny a powstał tylko dlatego że luka była na poziomie SMod.
Ok, baza danych forum, jeżeli gościu przemieliłby hasła przez potężny sprzęt to może część złamie. Kwestia czy robiłby to u siebie dekoderem (Konrad podał standard szyfrowania, nic mi to nie mowi ale to moze byc podpowiedz dla zainteresowanego), albo botem poprzez brute force, ale to prędzej zawiesi serwer forum xD
Czyli haseł nie posiada, może posiąść. Wystarczy je zmienić, jeżeli przez te 9 dni tego nie wykorzystał. Jeśli wykorzystał, to wszędzie indziej takie hasła. Cóż, podstawą jest nie używać wszędzie tego samego...
Maile może gdzieś sprzedać do spamu, to fakt. Tyle że to też można kliknięciem rozwiązać na poczcie.
Martwi mnie że nie znamy celu gościa, bo zapewne jakiś był. Chyba że ktoś sobie bierze bazę danych bo ma ochotę i nie wie co z tym zrobi
Ile toto w ogóle ważyło?
I z ciekawości, co teraz Admini? SMod to już imienna umowa? Pozew o rażące naruszenie postanowień?
__________________ r5 - Postal Dude ID 46038
r6 - Damjan ID 27188
Juz moge pisac co mi sie podoba.
img710.imageshack.us/img710/1807/damjans.png
Autor obrazka - Sley
|
|
20-03-2016 18:31 |
|
|
|