 Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars  |
KINTARO2
Triple Ace
Data rejestracji: 02-06-2010
Postów: 211
Kraina: Necropolia VI
 |
|
Proponuję 10 lat darmowej premki, każemu piłę z loterii oraz wszystkie evo na maksa. =D
__________________
Żyć jest bardzo niezdrowo. Kto żyje ten umiera.
R10 - KINTARO
Miszcz ciętej riposty
|
|
20-03-2016 18:36 |
|
|
bla_bla_bla
Viking
Data rejestracji: 19-09-2015
Postów: 732
Kraina: Necropolia
Skąd: BW → Bloody Warns
|
|
| cytat: |
Konrad napisał(a)
informujemy, że 11 marca 2016 roku były już Smod wykorzystując luki w zabezpieczeniach panelu admina forum oraz rozszerzone uprawnienia w związku z wykonywanymi pracami technicznymi na forum zapisał i pobrał na swój komputer kopię backupu bazy danych polskiego Oficjalnego Forum BW. |
Daliście mu niemalże pełne uprawnienia i na bieżąco nie monitorowaliście jego pracy (mimo że kilka osób miało problem ze zmianami dokonywanymi przez niego w layoucie forum, a nawet i Ty, Konradzie, w tymże temacie się wypowiadałeś, ramię w ramię z Bucem broniąc zarówno jego, jak i tych "przyszłościowych" zmian)?
| cytat: |
Konrad napisał(a)
Pomimo, że nie zakładamy z góry w jego działaniu złej woli czy celowego działania na czyjąś szkodę, to nie możemy tego wykluczyć. |
Eee... że co? Kilku(nasto)gigabajtowej(?) bazy danych chyba nie pobiera się przypadkiem, a właśnie celowo (zakładając, że jednak pobrał trochę więcej, niż Wam się wydaje że pobrał)...
| cytat: |
Konrad napisał(a)
Dlatego mając na uwadze Wasze bezpieczeństwo, informujemy Was o tym najszybciej jak się da, po konsultacji z prawnikiem oraz uzyskaniem pewności, że taka sytuacja faktycznie miała miejsce i była dokonana przez ww osobę. |
No to w końcu on, czy nie on? Chyba widzisz w logach które konto co robiło z danymi, kiedy i z jakiego IP, prawda?
| cytat: |
Konrad napisał(a)
Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych). Obowiązuje tu zasada, że im hasło "silniejsze" tym trudniej je złamać. Natomiast hasła bardzo słabe np słowa, które można znaleźć w słowniku, są możliwe do złamania w bardzo krótkim czasie. |
Konradzie, MD5, serio? Naprawdę uważasz to za "powszechnie uznawany standard bezpieczeństwa"?Oo
Przecież obecnie już nawet na domowym PC bezproblemowo można doprowadzić do kolizji hashy "szyfrowanych" tym algorytmem (oczywiście w zależności od długości hasła)... Jak już Wam tak szkoda mocy obliczeniowej na choćby SHA-256, to mogliście chociaż "posolić" te hasła...
Brute force brute force'em, słowniki słownikami, ale pamiętaj o "tablicach tęczowych" (do tych mniej obeznanych - tablice tęczowe nie są jakimiś transparentami z parady równości)... Poza tym, zakładając że spora liczba osób może mieć domyślne hasła stworzone podczas rejestracji konta (te są 8-znakowe, alfanumeryczne - do ich tworzenia używane są jedynie duże litery oraz cyfry), należy założyć, że tego typu hasła można złamać na domowym PC w czasie ok. 10 minut...
| cytat: |
Konrad napisał(a)
Na koniec chcielibyśmy wszystkich przeprosić za to zajście. Zdajemy sobie sprawę, że być może wycieku danych dałoby się uniknąć, gdybyśmy dokładniej przeanalizowali zabezpieczenia forum i przewidzieli scenariusz, że osoba która zostaje Super Moderatorem wykorzystuje tą funkcję do uzyskania nieuprawnionego dostępu do przechowywanych przez nas danych. |
Wycieku danych na 99% dałoby się uniknąć, gdybyście bardziej się przyglądali osobie, którą przyjmujecie na dane stanowisko... Nie wiem jak innych, ale mnie dziwił fakt, że Acrivec w ciągu zaledwie kilkunastu tygodni awansował z cmoda na moda, a po może miesiącu został smodem (konkretnie po tak penisowym odmalowaniu layoutu forum, za które widocznie awans dostał - rzeczywiście, wykonał "dobrą" robotę, a przy okazji dorzucił też coś od siebie)...
Wypadałoby też wspomnieć o tym, że co najmniej dwukrotnie na przestrzeni lat ktoś znajomy z Teamu zmieniał mu nick na forum (czego podobno nie da się zrobić i należy zakładać nowe konto)...
---
| cytat: |
mlesniak napisał(a)
czy ujawnicie kto dokładnie dokonał kradzieży z obsługi forum? czy dla dobra śledztwa nie będziecie ujawniać takiej informacji? chodzi o nick i jakie stanowisko obsługiwał na forum? |
Przecież już w pierwszym zdaniu masz napisane, że chodzi o smoda (a że było ich trzech, teraz jest dwóch, to wynik odejmowania jest łatwy do "odgadnięcia")...
---
| cytat: |
searcher napisał(a)
to zły człowiek jest. zwykle bał się otwartej dyskusji(np. z blablabla), podejrzany typ. |
Zazwyczaj jak się nie ma argumentów i jest się przypartym do muru, to się nie dyskutuje... Ewentualnie wtedy, gdy chce się okazać swoją wyższość, bo nie ma się "czarno-białego" nicka)...
---
| cytat: |
Veltaxio napisał(a)
mnie ciekawi jak doszliscie do tego ze pobral cokolwiek na swoj komputer ;d |
Logi bazy danych?
---
| cytat: |
DrizztDoUrden napisał(a)
Dokładnie o to samo chciałem zapytać ... i co na to ten koleś który pobrał te dane ... dalej są w jego posiadaniu? |
Nie, podobno już zwrócił dyskietkę z pobraną zawartością
---
| cytat: |
creepy napisał(a)
Hasło mam od dłuższego czasu i jak mam teraz zapamiętać nowe hasło? 
|
Może menedżer haseł (KeePass się kłania)?
---
| cytat: |
klogg123 napisał(a)
a tak zupełnie z ciekawości - czemu on nie ma zablokowanego konta? xD |
Też mnie to zastanawia, bo zwykli userzy za jakieś bzdury potrafią dostać perma...
---
| cytat: |
smieciarz napisał(a)
a co jeśli osoba miala takie same hasło na pocztę i na forum... |
Poniekąd taka osoba sama jest sobie winna... Stare powiedzenie mówi, że "hasła są jak majtki - często zmieniaj i nie pożyczaj nikomu" (a używanie jednego hasła do wszystkiego, z czystego lenistwa, to proszenie się o problemy - to tylko kwestia czasu)...
| cytat: |
smieciarz napisał(a)
oby była jakaś podpisana umowa |
Umowa? Zapomnij, tylko opi jadą na umowach (a i to śmieciowych)...
---
| cytat: |
XantaX napisał(a)
rozumiem, ze zgłoszenie zostało wysłane do GIODO? |
Jak ostatnio Sushiemu wspomniałem coś o GIODO - w związku z inną sprawą dot. jednego z operatorów - to niemalże mnie wyśmiał odpisując cyt. "powodzenia"...
---
| cytat: |
krzaczek napisał(a)
Zgodnie z polskim prawem powierzając wam swoje dane osobowe w tym adres mailowy stajecie się jednostką która go przetwarza zgodnie z obowiązującymi zasadani czyli tzw administratorem danych. Jeżeli dane te zostały skradzione, to oznacza że nie zostały odpowiednio zabezpieczone czyli nie dopełniliście przewidzianego przez ustawodawce obowiązku należytej opieki.
Czy zdajecie sobie sprawe z odpowiedzialności która na was ciąży z tego powodu? |
Nie wiem na pewno, ale ma dziwne przeczucie, że K2M nawet nie ma zgłoszonego do GIODO faktu administrowania jakąkolwiek bazą danych...
---
| cytat: |
Trova napisał(a)
To na serio Acrivec zrobił? xD
Czym go zdenerwowaliście, że to zrobił? 
nie przedłużyliście mu umowy o Smoda? xD |
Jakiej umowy?
Przecież dopiero co został smodem (widocznie w nagrodę za zepsucie wyglądu forum)...
---
| cytat: |
Drakanus napisał(a)
W zależnosci co zawierała baza.. jeśli mail + hasło + nick.. to:
np. może zalogować się na dużą część kont mailowych.. tam odzyskać dane do innych serwisów//serwisów bankowych etc. - resztę scenariusza nie muszę przedstawiać.. |
Ktoś, kto używa tego samego mejla w banku i w jakiejś podrzędnej gierce internetowej (do kompletu z tymi samymi hasłami), sam prosi się o kłopoty i chyba wręcz na nie zasługuje w ramach nauki na przyszłość...
---
| cytat: |
juen napisał(a)
a jakby ktos ukradl Twoje auto i nim przejechal kogos to rozumiem, ze Ciebie mieli by za to zamknac, a nie zlodzieja? |
No i zostałeś, juen, zaorany (rozumiem, że jak kiedyś np. wyprowadzą Ci hajs z banku, bo ten nienależycie się zabezpieczył, to też nie będziesz rzeczonego banku pozywał i walczył o odzyskanie swojego siana?
)...
| cytat: |
krzaczek napisał(a)
Mylisz przyjacielu pojęcia.
W tym wypadku to jest jakbyś dał kluczyki do auta i ta osoba by kogoś przejechała... ale to i tak ma się jak pięść do oka...
Bardziej bym szukał innej analogii. Masz broń zarejestrowaną na ciebie i dajesz ją koledze a on kogoś z niej zabija. Niestety i on i ty a przede wszystkim ty za to odpowiesz bo nienależycie ją zabezpieczyłeś. Tak mniej więcej wygląda przypadek który się tu wydarzył 
|
---
EDIT
literówki etc.
__________________
| cytat: |
Co jest tej, lepiej postaw litr, siadaj, gadaj co masz
Polej raz i pij, albo będzie peace albo damy se w pysk
Nie powiedziałeś tego w ryj to jakbyś chłopcze znikł |
Ten post był edytowany 8 raz(y), ostatnio edytowany przez bla_bla_bla: 22-03-2016 14:07.
|
|
|
20-03-2016 18:44 |
|
|
juen
Viking
Data rejestracji: 15-08-2006
Postów: 662
Kraina: Necropolia
Skąd: KRK
|
|
jezeli jest napisane, ze zostala wykorzystana luka to wine bedzie ponosil ten kto ja wykorzystal, nie wiem czemu tak trudno to Wam pojac i od razu atakujecie administratora danych.
z podanych informacji wynika, ze zlodziej nie dostal dostepu do bazy danych. gdyby dostal to mozna by sie zastanawiac czemu bez podpisania umowy, obca osoba dostaje takie dane. jedynym sprawca jest tu smod..
nie ma zabezpieczen nie do zlamania i zycze Wam wszystkim byscie sie nie dowiadywali tego na wlasnej skorze. a jak juz to nastapi to wyrozumialosci u klientow..
__________________
http://forum.bloodwars.interia.pl/board.php?boardid=433 mody do bw!
Amiga Rulez!
|
|
|
20-03-2016 19:06 |
|
|
Tig
Niezarejestrowany
|
|
A ja tak troszkę z innej strony.
wielu graczy w sumie nie używa forum, lub używają rzadko
ale jak dla mnie taka informacja powinna być podana wszystkim do informacji, dobrze widoczna !!
a podanie linku pod:
FAQ | Multikonta | Anty-bot patch II | Tabela kar | Konta operatorów w grze | Co zgłaszamy operatorowi
jak dla mnie jest słabo widoczne, jakby nie szum na czacie globalnym to pewnie bym tego nie zauważył bo w ostatnich dniach nie miałem czasu
a informacja co jak co ale dla wielu może okazać się ważna
dlatego niech to będzie w innym kolorze widoczne wśród tych linków, niech to miga itp żeby gracze to zauważyli i zapoznali się z problemem
a nie wejdą do gry wyklepią wypki itp i pójdą spać a na drugi dzień się już nie zalogują itd. już nawet nie mówię o tym że ktoś mógłby mieć podobne hasła itd jak do ważniejszych spraw
powiadomienia o kończących się usługach premium są nam wysyłane na pw a w takiej sytuacji nie powinna pójść globalna informacja o tym co się stało?
|
|
|
20-03-2016 20:01 |
|
|
smieciarz
Triple Ace
Data rejestracji: 22-05-2009
Postów: 193
Kraina: Necropolia; Necropolia V; Moria III
|
|
jak pobrał baze danych to została już na pewno sprzedana w darknecie....silk road sie kłania bo przecież nie pobiera sie bazy danych od tak... tylko żeby skopiować.... ale by był zonk jak byłaby to skradziona tożsamość. nie chce już krakać ale po pierwsze za pózno info nam dajecie i po drugie możecie przez to przerąbane...nie tylko przez opóźnienie i po trzecie baza mogła być już wykorzystana bo nikt nie będzie czekał z trefnymn towarem aż się zorientujecie, więc proszę o wyniki działalności delikwenta w sieci co robił bo może być już po ptokach
|
|
|
20-03-2016 20:05 |
|
|
BrudzioNaZgode
Newbie
Data rejestracji: 20-03-2016
Postów: 1
Kraina: Moria VI
Skąd: Zdaleka
|
|
Art. 267. kk
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej,
otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej
lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub
inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub
części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest
uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym
albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3
ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego
Moderator który to zrobił, niech ma świadomość, że i tak czy siak dostanie po dupie. Za takie działanie ponosi się wyżej wymienione konsekwencje.
|
|
|
21-03-2016 04:00 |
|
|
DrizztDoUrden
Forum Legend
Data rejestracji: 26-03-2007
Postów: 1.871
Kraina: Necropolia X
Skąd: Dokąd?? I z kim??
|
|
| cytat: |
BugenDiaaa napisał(a)
UWAGA!
11marca dostalam informacje od SModa , ze ze wzgledu na nowe mozliwosci udalo mu sie odzyskac część danych z mojego starego konta, ktore jakis czas temu kiedy bylam Modem skasowal przypadkowo Buc...mysle ze SMod nie mial zlych zamiarow bo nie chcial mi ani tego sprzedac ani nic zlego tylko przekopywal wszystko i odzyskiwal kolejne posty ze starego konta,zresztą myślę ze z przyzwoleniem Konrada i moze na prosbe Buca bo chlopaki juz po samej kasacji próbowali te dane odzyskac
A teraz bez spin prosze....mamy nowy tydzien....przedswiateczny....pora wybaczania....pozdrawiam |
Czyli do pewnego czasu wszystko było dobrze, ale gdy za daleko zaszło to nagle przestało?
|
|
|
21-03-2016 07:47 |
|
|
Szerlok
Etatowy animator spamu
Data rejestracji: 15-06-2015
Postów: 3.526
Klan: Fairy Tail
Rasa w grze: Ssak
Kraina: Necropolia IV; Moria V; Necropolia X
|
|
| cytat: |
Originally posted by Tig
A ja tak troszkę z innej strony.
wielu graczy w sumie nie używa forum, lub używają rzadko
ale jak dla mnie taka informacja powinna być podana wszystkim do informacji, dobrze widoczna !!
a podanie linku pod:
FAQ | Multikonta | Anty-bot patch II | Tabela kar | Konta operatorów w grze | Co zgłaszamy operatorowi
jak dla mnie jest słabo widoczne, jakby nie szum na czacie globalnym to pewnie bym tego nie zauważył bo w ostatnich dniach nie miałem czasu
a informacja co jak co ale dla wielu może okazać się ważna
dlatego niech to będzie w innym kolorze widoczne wśród tych linków, niech to miga itp żeby gracze to zauważyli i zapoznali się z problemem
a nie wejdą do gry wyklepią wypki itp i pójdą spać a na drugi dzień się już nie zalogują itd. już nawet nie mówię o tym że ktoś mógłby mieć podobne hasła itd jak do ważniejszych spraw
powiadomienia o kończących się usługach premium są nam wysyłane na pw a w takiej sytuacji nie powinna pójść globalna informacja o tym co się stało? |
co gorsza, po skrótowcu "ws" brakuje kropki
__________________
Tengel 13:04 -> sherlock jestes gorszy niz amfik
anth 13:45 -> szerlok nie myśli.. on trolluje
| cytat: |
Originally posted by Desmodontidae
uciekać, co za Mongoł to balansował ? |
| cytat: |
Originally posted by Kaagular
Idźcie sobie na izi morie. Tam można sobie z g. zrobić helikopter. |
Propozycje zmian w tutorialu można zgłaszać na pw lub w tym temacie.
exT-Mod działów Kupię, Sprzedam oraz Wycena sewerów handlowych.
|
|
|
21-03-2016 08:15 |
|
|
bla_bla_bla
Viking
Data rejestracji: 19-09-2015
Postów: 732
Kraina: Necropolia
Skąd: BW → Bloody Warns
|
|
| cytat: |
smieciarz napisał(a)
jak pobrał baze danych to została już na pewno sprzedana w darknecie....silk road sie kłania bo przecież nie pobiera sie bazy danych od tak... tylko żeby skopiować.... ale by był zonk jak byłaby to skradziona tożsamość. nie chce już krakać ale po pierwsze za pózno info nam dajecie i po drugie możecie przez to przerąbane...nie tylko przez opóźnienie i po trzecie baza mogła być już wykorzystana bo nikt nie będzie czekał z trefnymn towarem aż się zorientujecie, więc proszę o wyniki działalności delikwenta w sieci co robił bo może być już po ptokach |
Eee, jaki silk road? Przecież to narko-giełda była (z naciskiem na BYŁA, bo już grubo ponad rok temu zamknięto ten biznes, a koleś który kręcił na tym lody, "siedzi na dołku")
"Skradziona tożsamość"? No, gdyby ktoś był na tyle bezmyślny i używał tego samego mejla i hasła w pozostałej części Sieci, to może i mogłoby się udać (zależy co i gdzie o sobie udostępnił)...
Mnie mierzi inna rzecz...
BRAK JAKIEJKOLWIEK INFORMACJI O "WŁAMIE" NA SKRZYNKACH MEJLOWYCH NA KTÓRE ZAREJESTROWANE SĄ KONTA NA FORUM!
Potraficie wysyłać mejlingi typu "Nowości BWTeam - Listopad 2015" albo "Święta z BloodWars" (mimo że konto forumowe powiązane z tym mejlem dawno już ma permanentnego bana, co jak widać nie przeszkadza Wam w "spamingu"), a rzetelnej informacji o przypale wysłać nie potraficie (gdyby nie zarzutka na kp/kk, to pewnie do teraz nie wiedziałbym że "coś się dzieje")... Wniosek: nie jesteście poważną firmą (i pod pewnymi względami BW Team przypomina mi Grupę Adweb, która ostatnio też miała solidny przypał), a Sushi ten cały marketing & zarządzanie, to chyba na jakichś kodach skończył (skoro potrafi odpisać graczowi - de facto klientowi najprawdopodobniej płacącemu premkę - "jak się nie podoba, to idź do konkurencji")...
---
EDIT
| cytat: |
Damjan napisał(a)
Ok, baza danych forum, jeżeli gościu przemieliłby hasła przez potężny sprzęt to może część złamie. |
Nie hasła, tylko ich hashe (bo po cholerę łamać hasła, skoro już byłoby się w ich posiadaniu)...
| cytat: |
Damjan napisał(a)
Kwestia czy robiłby to u siebie dekoderem (Konrad podał standard szyfrowania, nic mi to nie mowi ale to moze byc podpowiedz dla zainteresowanego), albo botem poprzez brute force, ale to prędzej zawiesi serwer forum xD |
Jakim znowu "dekoderem"? Chyba miałeś na myśli tzw. ripper/cracker...
Poza tym haseł nie łamie się na serwerze (w końcu w jakimś celu posiada się tę bazę danych z hashami tychże haseł), bo taka akcja z automatu powinna zaalarmować admina...
__________________
| cytat: |
Co jest tej, lepiej postaw litr, siadaj, gadaj co masz
Polej raz i pij, albo będzie peace albo damy se w pysk
Nie powiedziałeś tego w ryj to jakbyś chłopcze znikł |
Ten post był edytowany 2 raz(y), ostatnio edytowany przez bla_bla_bla: 22-03-2016 14:16.
|
|
|
21-03-2016 08:34 |
|
|
Konrad
Administrator ds. technicznych
  
Data rejestracji: 24-05-2006
Postów: 13.388
Klan: BW Team
Skąd: localhost
Autor tematu 
|
|
bla_bla_bla, masz absolutną rację co do maili - zaczęliśmy je wysyłać jakiś czas temu, ale trochę to potrwa. Liczę na to, że do południa wszyscy, którzy się kiedykolwiek zarejestrowali na forum dostaną informację na maila.
Krótko odpowiem, na resztę Twoich zarzutów: oczywiście, że mamy zgłoszone bazy do GIODO. Oczywiście, że zdajemy sobie sprawę z powagi sytuacji. Odnośnie polityki informacyjnej - uważam, że jedyne co można nam zarzucić w tej sytuacji to zbyt długi czas, jaki zajęło nam zauważenie i połączenie ze sobą tego, co się stało i ustalenie dalszych kroków. Znam mnóstwo przykładów, gdy znacznie większe firmy z własnymi działami bezpieczeństwa miały o wiele większe wpadki, zarówno od strony bezpieczeństwa jak i informowania (zdaje się, że najczęstszą praktyką jest chowanie głowy w piasek).
| cytat: |
BugenDiaaa napisał(a)
UWAGA!
11marca dostalam informacje od SModa , ze ze wzgledu na nowe mozliwosci udalo mu sie odzyskac część danych z mojego starego konta, ktore jakis czas temu kiedy bylam Modem skasowal przypadkowo Buc...mysle ze SMod nie mial zlych zamiarow bo nie chcial mi ani tego sprzedac ani nic zlego tylko przekopywal wszystko i odzyskiwal kolejne posty ze starego konta,zresztą myślę ze z przyzwoleniem Konrada i moze na prosbe Buca bo chlopaki juz po samej kasacji próbowali te dane odzyskac
A teraz bez spin prosze....mamy nowy tydzien....przedswiateczny....pora wybaczania....pozdrawiam |
Naprawdę uważasz, że dopuściłbym KOGOKOLWIEK do bazy danych bez spisanych wcześniej umów i bez monitorowania jego działań? Przecież za to grozi odpowiedzialność karna.
Musicie też zrozumieć, że pewnych szczegółów dotyczących włamania nie możemy ujawnić publicznie, gdyż może to utrudnić postępowanie odpowiednich organów zajmujących się sprawą.
__________________
|
|
|
21-03-2016 09:04 |
|
|
Gregorian
Lord
Data rejestracji: 28-10-2007
Postów: 423
Klan: Valhalla
Rasa w grze: Ssak
Kraina: Necropolia IX
Skąd: Stąd
|
|
Co do tej całej fali zarzutów...
Wycieki danych zdarzały się nawet w takiej firmie jak Sony. Ludzie bez większych problemów włamują się na strony rządowe. Dane z chmur internetowych wyciekają non stop...
A wy jesteście tak wstrząśnięci, że coś się zdarzyło na jakieś gierce internetowej, która w porównaniu do innych gigantów popularnością nie grzeszy...
Oczywiście wina leży po obu stronach. Administracji z powodu pewnych niedociagnięć bo zawsze takie są, a z waszej użytkownicy, że używacie loginów, maili i haseł do gier, których używacie na codzień.
Ja dzisiaj zauważyłem, że mam podpięte jakieś konto pod forum, o istnieniu którego nawet zapomniałem. Nie logowałem się na nie od czasu założenia konta na forum.
Druga sprawa to nazwy, maile i hasła mam inne na forum i w grze. I w żadnym wypadku nie używam ich gdziekolwiek indziej.
Zdaję sobie również sprawę, że wiele osób jest nieświadomych konsekwencji używania loginów,maili i haseł wszędzie takich samych. Takich osób mi jest naprawdę szkoda bo to w sumie nie do końca ich wina. Wiele osób nie potrafi porządnie szukać w google (tak to nie są żarty, ani nabijanie się), a co dopiero wiedzieć takie rzeczy.
Jestem pewien, że w jakiś sposób to zostanie ogarnięte, zabezpieczenia poprawione a użytkownicy też coś z tego wyniosą (może nawet jedną z najważniejszych lekcji w internecie).
Liczę tylko na jakiś raport, kiedy cała sprawa zostanie rozwiązana.
__________________
|
|
|
21-03-2016 09:27 |
|
|
christov
Forum Ace
Data rejestracji: 18-01-2008
Postów: 87
Klan: khorn
Kraina: Necropolia
Skąd: torun
|
|
|
|
21-03-2016 09:38 |
|
|
Gregorian
Lord
Data rejestracji: 28-10-2007
Postów: 423
Klan: Valhalla
Rasa w grze: Ssak
Kraina: Necropolia IX
Skąd: Stąd
|
|
| RE: Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
     |
| cytat: |
Originally posted by christov
czy zostało to zgłoszone odpowiednim organom?
czy BW planuje złożyć stosowne zawiadomienie?
czy BW posiada informację by powyższe dane mogły zostać wykorzystane / przetworzone przez osoby trzecie prócz wspomnianego "miszcza"?
gdzie doszło do wycieku danych, w sensie z domowego komputera czy innego sprzętu? /czy sprzęt został zabezpieczony, będzie zabezpieczony/
dlaczego dopiero po takl długim czasie podano do publicznej wiadomości taką informację?
czy administracja zamierza w jakikolwiek sposób rekompensować graczom taką lukę gdzie de facto mogło /doszło, dojdzie/ do nieuprawnionego wykorzystania danych osobowych:
Numer ICQ:
Nazwa konta AOL Messengera:
Nazwa konta Yahoo! Messengera:
E-mail MSN Messengera:
E-mail:
Strona Domowa:
Płeć:
Urodziny:
GG:
267 par. 2 kk
268a kk
chyba tak to wygląda? |
90% informacji o które pytasz już są zawarte w temacie...
__________________
|
|
|
21-03-2016 09:47 |
|
|
Arius
Debeściak BW
Data rejestracji: 04-09-2006
Postów: 4.593
Kraina: Moria III
Skąd: Wa-wa
|
|
Christov przeczytaj uważnie temat, a nie spamuj pytaniami,na które juz padła odpowiedź.
Oczywiście sprawa jest poważna, ale
na forum nikt graczy nie prosił o podanie haseł do kont mailowych, bankowych itp. Tak więc jeśli ktoś używał tego samego hasła do innych serwerów, to nie jest to już kwestia tego gracza..
Hasła należy zmienić jak najszybciej i czekać cierpliwie na rozwój wypadków.
__________________
Pierwszy licencjonowany pielgrzym i zabójca króla wilków na R1 i R3.
Nick R3 Allise BYŁY TOP_1
|
|
|
21-03-2016 09:54 |
|
|
Bianka
Newbie
Data rejestracji: 12-09-2007
Postów: 1
Kraina: Necropolia II
|
|
| RE: Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
|
| cytat: |
Originally posted by Konrad
Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych). |
md5? Standard bezpieczeństwa? Serio? Ten kto to napisał nie ma pojęcia o bezpieczeństwie... Może to i był standard, ale z 20 lat temu, a dzisiaj łamanie md5 to pestka... Są stronki w necie które robią to za darmo w bardzo krótkim czasie.
I prosiłbym o usunięcie mojego konta bo nie mogę znaleźć takiej opcji z poziomu forum.
__________________
Jam jest która jest.
|
|
|
21-03-2016 10:03 |
|
|
pieczarr
Lord
Data rejestracji: 11-09-2014
Postów: 425
Kraina: Necropolia VIII
|
|
| RE: Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
|
| cytat: |
Bianka napisał(a)
| cytat: |
Originally posted by Konrad
Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych). |
md5? Standard bezpieczeństwa? Serio? Ten kto to napisał nie ma pojęcia o bezpieczeństwie... Może to i był standard, ale z 20 lat temu, a dzisiaj łamanie md5 to pestka... Są stronki w necie które robią to za darmo w bardzo krótkim czasie.
I prosiłbym o usunięcie mojego konta bo nie mogę znaleźć takiej opcji z poziomu forum. |
No no, spokojnie, popatrz na sam opis stronki:
This algorithm is not reversible, ie it is normally impossible to find the original word from the md5 hash.
- Algorytm nie jest odwracalny - jest niemal niemozliwe aby znalezc oryginalne slowo z md5 hasha.
Stronki dzialaja na zasadzie bazy danych - ma ilestam slow w bazie i odpowiadajace im hashe.
To ze cos jest sprzed 20 lat nie znaczy ze nie dziala - chociazby twierdzenie pitagorasa
Dziala? dziala.
|
|
|
21-03-2016 10:09 |
|
|
malefo
Forum Ace
Data rejestracji: 09-12-2015
Postów: 90
Kraina: Moria III
|
|
| RE: Oświadczenie w sprawie wycieku informacji z bazy danych Oficjalnego Forum BloodWars |
|
| cytat: |
pieczarr napisał(a)
To ze cos jest sprzed 20 lat nie znaczy ze nie dziala - chociazby twierdzenie pitagorasa
Dziala? dziala. |
Trochę nie masz pojęcia o czym piszesz...
np WEP też wciąż działa i każdy domowy router ma opcję szyforwania wi-fi WEPem, pokaż mi jelenia, który tego używa
wyciek jak wyciek, zdaża się, może przynajmniej jakieś wnioski ktoś z tego wyciągnie i poprawi zabezpieczenia (md5? r'ly?)
I grunt to miec do kazdego konta inne hasła, wtedy najwyżej spamu trochę na skrzynkę wpadnie i nic więcej.
__________________
|
|
|
21-03-2016 10:34 |
|
|
searcher
Najlepszy gracz BW 2015
Data rejestracji: 17-09-2015
Postów: 835
Rasa w grze: Ssak
Kraina: Moria VII
|
|
wczoraj wieczorem i w nocy nie działało forum. to był jakiś atak tego /**********/ o nicku acrivec, czy inne problemy?
ponownie wnoszę o cofnięcie wszystkich zmian na forum dokonanych przez tego osobnika, konkretnie chodzi mi o nowy wygląd forum.
Xzar: usunięcie obraźliwych określeń
__________________
Chlastam się co dwa miesiące, a Ty?
Nie klikaj!
|
|
|
21-03-2016 10:42 |
|
|
bla_bla_bla
Viking
Data rejestracji: 19-09-2015
Postów: 732
Kraina: Necropolia
Skąd: BW → Bloody Warns
|
|
| cytat: |
Konrad napisał(a)
Krótko odpowiem, na resztę Twoich zarzutów: oczywiście, że mamy zgłoszone bazy do GIODO. Oczywiście, że zdajemy sobie sprawę z powagi sytuacji. Odnośnie polityki informacyjnej - uważam, że jedyne co można nam zarzucić w tej sytuacji to zbyt długi czas, jaki zajęło nam zauważenie i połączenie ze sobą tego, co się stało i ustalenie dalszych kroków. Znam mnóstwo przykładów, gdy znacznie większe firmy z własnymi działami bezpieczeństwa miały o wiele większe wpadki, zarówno od strony bezpieczeństwa jak i informowania (zdaje się, że najczęstszą praktyką jest chowanie głowy w piasek). |
Zarzutów? To raczej były spekulacje wysnute na podstawie tego, w jaki sposób Sushi ze mną rozmawiał swego czasu... Niemniej dobrze wiedzieć, że bazy macie zgłoszone w GIODO...
No właśnie, miały... Przy obiegu informacji, jaki mamy w obecnych czasach, już tylko totalni lamerzy udają że nic się nie stało, bo "może rozejdzie się po kościach"...
---
| cytat: |
pieczarr napisał(a)
No no, spokojnie, popatrz na sam opis stronki:
This algorithm is not reversible, ie it is normally impossible to find the original word from the md5 hash.
- Algorytm nie jest odwracalny - jest niemal niemozliwe aby znalezc oryginalne slowo z md5 hasha.
Stronki dzialaja na zasadzie bazy danych - ma ilestam slow w bazie i odpowiadajace im hashe.
To ze cos jest sprzed 20 lat nie znaczy ze nie dziala - chociazby twierdzenie pitagorasa
Dziala? dziala. |
Eee, a o "tęczowych tablicach" słyszał? O łamaniu hashy z wykorzystaniem GPU słyszał (nie wiem czy wiesz, ale już z 5 lat temu na kompach z powiedzmy 4. kartami graficznymi hashe MD5 można było łamać w liczbie ~30 miliardów kombinacji na sekundę, a przez te 5 lat GPU stały się "troszkę" bardziej zaawansowane)?
__________________
| cytat: |
Co jest tej, lepiej postaw litr, siadaj, gadaj co masz
Polej raz i pij, albo będzie peace albo damy se w pysk
Nie powiedziałeś tego w ryj to jakbyś chłopcze znikł |
Ten post był edytowany 4 raz(y), ostatnio edytowany przez bla_bla_bla: 22-03-2016 14:12.
|
|
|
21-03-2016 10:44 |
|
|
pieczarr
Lord
Data rejestracji: 11-09-2014
Postów: 425
Kraina: Necropolia VIII
|
|
|
|
21-03-2016 10:45 |
|
|
posejdon86
Junior Member
Data rejestracji: 30-07-2015
Postów: 12
|
|
Konradzie serio MD5 ? przecież to było standardem bezpieczeństwa z 20 lat temu. Przy obecnych komputerach dostępnych w większości domów MD5 jest do złamania w krótkim czasie. Mogliście chociaż "posolić" dodatkowo a nie zostawić gołe md5. Zalecam pomyśleć nad zmiana szyfrowania.
|
|
|
21-03-2016 11:24 |
|
|
Mirabeth
Ex-Team
Data rejestracji: 06-07-2013
Postów: 387
Klan: Misie
Kraina: Necropolia X
|
|
Prośba do wszystkich napinających się w sprawie wycieku. Admini i tak maja już niezły burdel w związku z tym. Przeprawa z GIODO, organami ścigania itd. itp. Nie wszystkiego można uniknąć, więc przestańcie wieszać na nich psy. Wyciek nie był ich "wpadką", tylko celowym działaniem osoby która pobrała te dane. A skoro działanie było celowe, to chyba dana osoba wiedziała co robi i jak się do tego zabrać, aby BWT nie mogli jej powstrzymać/zorientować się na czas. Trochę zrozumienia.
__________________
R14+16 Mesjasz
Tmod:
Kupię - Moria
Sprzedam - Moria
Wymiana kont
|
|
|
21-03-2016 11:47 |
|
|
klogg123
Niezarejestrowany
|
|
| cytat: |
searcher napisał(a)
wczoraj wieczorem i w nocy nie działało forum. to był jakiś atak tego /********/ o nicku acrivec, czy inne problemy?
ponownie wnoszę o cofnięcie wszystkich zmian na forum dokonanych przez tego osobnika, konkretnie chodzi mi o nowy wygląd forum. |
| cytat: |
| Prośba do wszystkich napinających się w sprawie wycieku. Admini i tak maja już niezły burdel w związku z tym. Przeprawa z GIODO, organami ścigania itd. itp. Nie wszystkiego można uniknąć, więc przestańcie wieszać na nich psy. |
Ten post był edytowany 1 raz(y), ostatnio edytowany przez klogg123: 21-03-2016 11:51.
|
|
|
21-03-2016 11:49 |
|
|
Trova
Turbodoładowana spamiarka forumowa
Data rejestracji: 28-01-2009
Postów: 2.605
Kraina: Necropolia IV
Skąd: Zgorzelec
|
|
Zmiany które zrobił akurat są fajne, forum wygląda lepiej niż przed zmianami, także to powinno zostać ;p
__________________
Nick R6 Włóczykij
| cytat: |
SushiMaker napisał(a)
Z uwagi na obecny stan kodu BW (jak by kupa trafiła w wentylator) |
|
|
|
21-03-2016 12:20 |
|
|
KR33P
Forum Legend
Data rejestracji: 23-05-2008
Postów: 1.872
Klan: Electi Mortis
Rasa w grze: Kultysta
Kraina: Necropolia V; Necropolia VII
|
|
| cytat: |
Trova napisał(a)
Zmiany które zrobił akurat są fajne, forum wygląda lepiej niż przed zmianami, także to powinno zostać ;p |
Twoja opinia, nic więcej, także pisanie że "powinno" zostać średnio na miejscu. Tak samo jak teraz ja wygłaszam opinię, a nie stwierdzam fakt (a śledząc Twoje wypowiedzi, zauważam że mylą Ci się te dwa pojęcia):
Ja tak jak wyżej przedmówcy, nie jestem fanem toteż dołączam się do postulatu by powrócić do starego stylu forum, a jeśli pracować nad alternatywnym to tak by nie ingerował w domyślny.
Co do nieprzyjemnego incydentu, jeśli gracze podjęli kroki by zapewnić sobie bezpieczeństwo to szczególnie wielkich obaw nie powinni mieć, chociaż wiem jak powszechne jest używanie jednego i tego samego hasła do wszelakich stron/aplikacji, analogicznie używanie jednego mail'a, a potem narzekanie że spam przyłazi. 
Nie rozumiem jednak tłumaczenia się bo Sony, bo Google, bo św. Wojciech. Z takiej sytuacji nie powinno być żadnych prób tłumaczenia samych siebie. Pozostaje uporanie się z kwestiami legalno-prawnymi i nauczka na przyszłość. Nie podoba mi się, że dopiero po pewnym czasie zauważono wyciek danych i w związku z tym gracze=klienci zostali o tym poinformowani z opóźnieniem.
__________________
|
|
|
21-03-2016 12:49 |
|
|
twardy
Tutorial Mod
Data rejestracji: 10-02-2008
Postów: 4.671
Kraina: Moria III
|
|
te zmiany na forum, czyli pokolorowane podkategorie... chcialbym napisac, ze to jedna z lepszych zmian w wygladzie forum... z tym, ze to jedyna zmiana jaka pamietam od kiedy mam na tym forum konto
w ogole co trzeba miec w glowie, zeby pisac 'ha! sciagnal se baze danych na dysk, cofnijcie zmiany na forum!' xD co ma piernik do wiatraka?
__________________
W tutorialu czegoś nie ma? Trzeba cos zmienić? Napisz w tym temacie
|
|
|
21-03-2016 13:29 |
|
|
Konrad
Administrator ds. technicznych
Data rejestracji: 24-05-2006
Postów: 13.388
Klan: BW Team
Skąd: localhost
Autor tematu
|
|
Proszę powstrzymać się od "kamienowania" SMod-a, który to zrobił. Wiele wskazuje na to, że nie miał złych intencji - sam poinformował nas o tym, że udało mu się uzyskać dostęp do opcji backupu, zapewniał, że zrobił to z chęci naprawienia konta jednemu z użytkowników. Twierdzi też, że utworzonego backupu nie ściągnął (na podstawie logów da się wskazać, które tabele zostały zarchiwizowane i kiedy, jednak nie da się określić, czy wybrana została opcja ściągnięcia pliku czy zarchiwizowania go na serwerze) i zapewnia, że nigdzie nigdy nie udostępni tej części danych, do których miał dostęp. Twierdzi także, że nie był świadomy, że nie tylko baza gry ale i również baza forum jest zarejestrowana w GIODO.
Nie mamy podstaw by mu nie wierzyć, natomiast:
- nie mamy też podstaw, by mu bezgranicznie ufać, tym bardziej, że nie obowiązuje go żaden rodzaj pisemnej umowy z nami nt zachowania poufności informacji,
- zrobił to bez naszej wcześniejszej zgody ani nawet wiedzy, wykazując się totalną samowolką.
Niestety w związku z tym, że uzyskał nieuprawniony dostęp do bazy zgłoszonej do GIODO jesteśmy zmuszeni do podjęcia kroków w tej sprawie.
Uważamy też za nasz obowiązek by poinformować wszystkich potencjalnie narażonych użytkowników, gdyż tylko takie postępowanie gwarantuje ich bezpieczeństwo.
Natomiast nawet w pierwszym poście napisałem, że nie można z góry założyć jego celowego działania na naszą szkodę, a jego zachowanie po tym incydencie nie wskazuje, by wyrządzenie szkód było celem lub motywem jego działań.
Zdajemy sobie sprawę, że jest to w dużym stopniu "dmuchanie na zimne", jednak uważamy to za najlepszą praktykę w podobnych przypadkach.
Odpowiadając na wątpliwości dot. długiego czasu oczekiwania - zrobiliśmy to bez zbędnej zwłoki, natomiast dopiero w momencie, gdy na podstawie analizy logów serwerów uzyskaliśmy uzasadnione podejrzenie, że chronione prawem dane mogły wpaść w niepowołane ręce oraz mieliśmy wstępną analizę prawną.
__________________
|
|
|
21-03-2016 13:32 |
|
|
searcher
Najlepszy gracz BW 2015
Data rejestracji: 17-09-2015
Postów: 835
Rasa w grze: Ssak
Kraina: Moria VII
|
|
|
|
21-03-2016 13:40 |
|
|
|
