Bezpieczeństwo

Wyciekła lista haszy haseł - prosimy o zmianę hasła

z dnia
Mateusz Sołtysiak | Redaktor serwisu benchmark.pl
101 komentarzy Dyskutuj z nami

Prosimy wszystkich użytkowników portalu benchmark.pl, którzy mają u nas konto, o zmianę hasła. Wciekła nasza lista hashy haseł.

Co to są hashe haseł?

Nie przechowujemy w bazie odkrytych/jawnych haseł. Wszystkie hasła są szyfrowane. I właśnie taka wersja haseł wyciekła - zaszyfrowana. To nie powód do paniki, jednak proste hasła można dziś odszyfrować bardzo szybko.

Zmień koniecznie hasło na benchmark.pl

Zawsze lepiej dmuchać na zimne, dlatego prosimy Was o zmianę hasła do logowania w serwisie (zwłaszcza jeśli było proste). Jeżeli używaliście tego samego hasła co na benchmark.pl, również w innym miejscu - zmieńcie hasło i tam. 

Jak ustawić dobre hasło?

Dobre hasło powinno zawierać w miarę losowe znaki. Najczęstszą próbą odszyfrowania hasła jest tzw metoda słownikowa. Algorytm deszyfrujący przeszukuje słownik. Dlatego Hasła typu Adam25, qwerty czy 123 nie są bezpieczne. Postarajmy się aby nasze hasło składało się z co najmniej 8 znaków, zawierało małe i wielkie litery, cyfry, oraz chociaż jeden znak specjalny. Unikajmy haseł składający się z naszych nicków, numerów telefonów oraz innych słów, które możemy znaleźć w słowniku, lub łączenia tych słów ze sobą.

Cechy dobrego hasła:

  • minimum 8 znaków
  • małe i wielki litery w niekonwencjonalnych miejscach
  • wplecione znaki specjalne
  • przeplataj litery dowolnego wyrazu z cyframi

Informacje o wycieku

O możliwym wycieku poinformował nas wczoraj wieczorem Adam Haertle z serwisu ZaufanaTrzeciaStrona.pl. 

W sieci w lipcu pojawiła się lista haszy haseł użytkowników - liczba użytkowników to ok. 184 tysiące, część haszy to MD5, część to bcrypt

Niezwłocznie podjęliśmy działania w celu wyjaśniania tej sprawy. Jednocześnie poprosiliśmy Adama o odpowiedzi na kilka pytań, które na pewno nurtują teraz naszych czytelników.

Jakie konsekwencje niesie za sobą taki wyciek dla użytkowników?

Ujawnienie samych skrótów haseł nie stanowi żadnego zagrożenia, ponieważ nie są one powiązane z kontami użytkowników. Należy jednak założyć, że w rękach atakującego znalazły się szersze dane, w tym adresy email użytkowników, powiązane ze skrótami haseł. Istnieje zatem ryzyko, że na podstawie tych danych napastnicy podejmą próby użycia par email + hasło do prób logowania zarówno na konta pocztowe użytkowników, jak i do innych serwisów internetowych. Jeśli zatem gdziekolwiek używaliście tej samej pary email + hasło, co w benchmark.pl, warto te hasła zmienić na unikatowe. Szczególnie dotyczy to serwisów przechowujących poufne dane (np. poczta, serwisy społecznościowe, hostingi plików) jak i serwisów powiązanych z automatycznymi metodami płatności (aukcyjne, filmowe, usługi transportowe, gry online itp.)

Jaka jest różnica MD5 a bcrypt?

Zarówno MD5 jak i bcrypt są sposobami przechowywania haseł. bcryp to dużo nowsza i bezpieczniejsza metoda - skróty haseł przechowywane w tej postaci są o kilka rzędów wielkości trudniejsze do odgadnięcia przez włamywaczy niż w przypadku MD5. Oznacza to, że jeśli hasło składające się z 8 losowych liter, zapisane w MD5, włamywacz może zgadnąć w ciągu doby, to zgadnięcie takiego samego hasła zapisanego w bcrypt zajmie mu setki lat.

Jak w przyszłości ustrzec się, jako użytkownik internetu, od nieprzyjemnych konsekwencji takich wycieków danych?

Najprostszym sposobem utrudnienia życia złodziejom danych jest używanie unikatowych haseł. Oznacza to, że nigdy nie używamy tego samego hasła w żadnym innym serwisie niż ten, gdzie je już raz podaliśmy. Posiadanie dziesiątek, a nawet setek haseł wymaga zarządzania nimi - w tym celu warto używać dedykowanego programu, czyli menedżera haseł. To program, który zapamięta hasła za nas i pomoże nam przy ich wpisywaniu.

Szyfrowanie haseł na benchmark.pl

W 2018 roku dla kont użytkowników wprowadziliśmy hasze bcrypt, dlatego jeśli w tym okresie zakładałeś swoje konto lub zmieniałeś hasło, Twoje hasło i konto powinno być bezpiecznie (jeśli nie jest za proste hasło). 

Jak mogło dojść do wycieku?

Do wycieku mogło dojść w jednym z dwóch największych serwisów należących do benchmark. Są to: serwis główny dostępny pod adresem www.benchmark.pl, lub forum dostępnego pod adresem forum.benchmark.pl. Na ten moment jest za wcześnie aby móc stwierdzić gdzie dokładnie nastąpił atak. Przed nami długie noce z oczami skierowanymi na logi systemowe, które zapewne skrywają odpowiedź na pytanie - jak w ogóle doszło do wycieku tych danych. Od początku czerwca obserwowaliśmy wzmożony ruch botów, których lokalizacja wskazywała na wschodnią część Azji. Zadaniem takich botów jest przeszukiwanie serwisów internetowych pod kątem podatności na różnego typu ataki. Jak już się dowiedzieliśmy, co najmniej jeden z tych ataków, których byliśmy celem, okazał się skuteczny.

Co zrobimy by w przyszłości zminimalizować ryzyko podobnej sytuacji?

Przede wszystkim zaczniemy od przeczesania wszelkich logów systemowych, jakie tylko mamy dostępne. To pozwoli ustalić nam jakie serwisy, oraz w które miejsca tych serwisów celowali napastnicy aby uzyskać dostęp do bazy danych, a przede wszystkim, logi wskażą nam miejsce gdzie atak okazał się skuteczny. Po ustaleniu lokalizacji podatnej na ataki części serwisu, natychmiast wykonamy audyt bezpieczeństwa tej części systemu i wyeliminujemy znalezione podatności. Prewencyjnie zlecimy również audyt bezpieczeństwa firmie zewnętrznej, aby mieć pewność, że nasze działania przyniosły oczekiwany rezultat. Jako środek zapobiegawczy bierzemy również pod uwagę zablokowanie ruchu z niektórych lokalizacji, przede wszystkim z Azji Wschodniej i Środkowej.

Dlaczego dochodzi do takich sytuacji?

Miłośnicy włamywania się do baz i łamania haszy testują swoje umiejętności i metody zgadywania. Mając na uwadze, że benchmark.pl nie przechowuje wrażliwych danych celem ataku nie były dane użytkowników. Jak twierdzą specjaliści, takie wycieki często zwiększają świadomość i bezpieczeństwo w sieci. 

Nasza reakcja

Wyznaczony w naszej firmie Inspektor Ochrony danych Osobowych, w godzinę po otrzymaniu wiadomości o wycieku, rozpoczął procedury umożliwiające stwierdzenie i ocenę tego incydentu. 

Regulamin obliguje go do dokonania rzeczowej analizy w celu stwierdzenia czy doszło do naruszenia ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO. Według Grupy Roboczej Art. 29 w Wytycznych dotyczących zgłaszania naruszeń (WP 250 rev. 01) administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.

Konsekwencją stwierdzenia naruszenia jest konieczność przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Analiza ta pozwala stwierdzić, czy należy wypełnić obowiązek z art. 33 ust. 1 RODO (tj. zgłosić naruszenie organowi nadzorczemu) oraz art. 34 ust. 1 RODO (tj. zawiadomić osoby, których dane dotyczą o naruszeniu).

Według wiedzy jaką dysponujemy na tę chwilę, nie doszło też do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania naszej bazy z danymi użytkowników. Jednocześnie podejmujemy działania mające na celu przeciwdziałanie skutkom tego incydentu i naruszeniom w przyszłości.

Przepraszamy naszych czytelników za zaistniały problem.

Najczęstsze pytania:

Jakie dane użytkowników przechowujemy?

  • e-mail
  • nick
  • imię i nazwisko (opcjonalnie)
  • data urodzenia (opcjonalnie)

Jakich danych, wbrew temu co pojawiło się w sieci, nie gromadzimy

  • numer telefonu
  • adres

Zadne z tych danych, jakie przetrzymujemy nie są uznawane przez UODO za dane wrażliwe. Tak, są to dane osobowe - głównie wtedy jeśli ktoś poda nazwisko lub ma imię i nazwisko w adresie email, ale takie dane nie stanowią wysokiego ryzyka.

Komentarze

101
Zaloguj się, aby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    olaf_
    Tu piszą więcej o tej sytuacji
    https://zaufanatrzeciastrona.pl/post/wyciek-danych-uzytkownikow-serwisu-benchmark-pl/
    13
  • avatar
    hideo
    zmienione, dzięki za info
    10
  • avatar
    gormar
    Skoro już wyciekło to mogę podać swoje stare hasło:
    Wa&{Kblty&l[.YI&6I
    :)
    Unikatowe dla wszystkich serwisów z których korzystam w sieci.
    10
  • avatar
    Szafirek
    Wycieki się zdarzają niestety.
    10
  • avatar
    quadi
    Słabo. Wyciek byl prawie 1.5 miesiaca temu i żaden Admin benchmarka nawet tego nie dostrzegl.
  • avatar
    Kuciem
    Tak z ciekawosci...
    Czy nie mozna w takich przypadkach zrobic wymuszonej zmiany hasel? Np wysyla sie wszystkim uzytkownikom na mejla auto-reset hasla? Jezeli nie to dlaczego?
  • avatar
    kitamo
    tak swoją drogą

    gownogowno123454321
    Wtf :D

    ale piotrek190@gmail.com to juz pewniak :D
  • avatar
    rafalcl
    Przy okazji pytanie, czemu na stronie forum benchmarka nie ma szyfrowania?
  • avatar
    pablo11
    Pytanie kto i po co miałby odszyfrowywać to hasło ?? Nikt normalny nie podaje na takich serwisach swoich danych osobowych, a także emaila, którego używa normalnie i przegląda. Normalne jest, że na takich stronach się daje jakieś proste hasło, zupełnie inne niż w innych serwisach. Na dobrą sprawę, mógłbym podać swoje hasło publicznie i nikogo by to nie interesowało.

    Pozdrawiam geniusza, który wykradł hasła i innych geniuszy, którzy mają takie same hasło do emaila, czy czegokolwiek ważnego.
  • avatar
    Kicaj83
    53,38% haseł zostało odkodowanych zgodnie ze screenem na Z3S :o.....
  • avatar
    alexyn
    UPS.....to teraz przyjdzie czas na ocenę reakcji redakcji na wyciek :-)
  • avatar
    zeniu
    Jak to jest że do wifi szyfrowanego wpa2 nie można się włamać, zabezpieczeń Playstation 4 nie można złamać, a do serwisu internetowego jak benchmark.pl już można?
  • avatar
    Sanctrum
    Nooo... To bardzo odważną decyzję podjęliście... Oby nie odbiło się to Wam czkawką.

    "Zgodnie z definicją Urzędu Ochrony Danych Osobowych, w incydencie tym nie nastąpiło naruszenie ochrony danych osobowych.

    Według wiedzy jaką dysponujemy na tę chwilę, nie doszło do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych, przechowywanych w naszej bazie."

    Skoro nawet nie wiecie co dokładnie wyciekło bo NIE wiecie jak to było możliwe... To, że opublikowano tylko wycinek danych nie znaczy, że nie wyciekło znacznie więcej typów danych. Jeśli wyciekły także loginy to jest to naruszenie niezgodne z prawem bo loginem może być nazwisko, jeśli wyciekły adresy email to TEŻ jest to naruszenie bo przestępca może bezpośrednio trafić od adresata!. Jeśli wyciekły także IP, to też może być traktowane jako dane osobowe w szczególności w powiązaniu z innymi danymi, itd...

    Do odważnych świat należy ale w przypadku ochrony danych osobowych to aż tak odważny bym nie był i od razu zgłosił to do UODO i prokuratury. Bo KARY za niezgłoszenie mogą spowodować, że zbankrutujecie...
  • avatar
    Jayus
    Proszę przestańcie powielać mity odnośnie "bezpiecznych" haseł, które tak naprawdę są łatwe do złamania dla komputerów, a trudne do zapamiętania dla ludzi.

    https://xkcd.com/936/
  • avatar
    Norghul
    Zmienione. Użyłem generatora dostępnego w Chrome. Nie chciało mi się wymyślać.
  • avatar
    Dariosex
    Po co bede zmienial skoro i tak podalem falszywe dane i imejl ktory jest do spamu!
  • avatar
    kitamo
    cały benchmark :)
    Nie dosc ze ciągle jakies przecieki w artykułach to jeszcze wycieka wszystko z bazy danych użytkowników.
  • avatar
    grzes11yo
    Ustawienie "dobrego hasła" nie da za wiele jeśli będzie dochodziło do wycieków.
  • avatar
    SuperTurboUser
    Hasło zmienione. :)
  • avatar
    Konto usunięte
    Usuwam konto i tyle ! Cała sitwa z Benchmark to AMATORZY !!!
  • avatar
    mjwhite
    No cóż brzmi dość poważanie, ale ja nie pękam a benchmarkowi życzę powodzenia i bezpieczniejszej przyszłości : )
  • avatar
    StaryZgred
    Rok temu zmieniłem WSZYSTKIE hasła używając pierwszego lepszego generatora haseł który pojawia się w googlu. Wszystko zapisałem w pliku tekstowym i mam wywalone. Jedyne hasło które pamiętam to te do Googla. Fakt że trzeba czasami otwierać ten plik i szukać tego hasła i wklejać ale poczucie bezpieczeństwa w sieci jest bezcenne.
  • avatar
    bl00keRs
    Dzięki za informacje. Na szczęście mam randomowe hasło z LastPass ale już je zmieniam :)
  • avatar
    KwantowyYebaka
    Szkoda się bawić i tak Urzywam lewego @ na lewym systemie
  • avatar
    raffal81
    Strach zmieniać hasło na BM, bo później za pewne nawet zalogować się nie będzie można :D
  • avatar
    david_89
    i znowu będzie mi spam przychodził, tak jak po morelach...już tyle lat...
    -1
  • avatar
    SoulRak3r
    no ładnie, dzięki...
    -1
  • avatar
    Agresor
    Zmienione
    -1
  • avatar
    zakius
    1. haseł się nie szyfruje, nie piszcie takich bzdur, zwłaszcza w nagłówkach
    2. wstyd, że jeszcze w 2018 używaliście MD5
    3. w sumie nie byłoby żadnym wyzwaniem zaktualizować hash automatycznie przy pierwszym logowaniu, w końcu jest ono obecne w pamięci systemu w formie jawnej (ale zdaję sobie sprawę, że stosowany system pewnie tego nie oferował w standardzie, a to jest dla większości jednoznaczne z "nie da się")
    -1
  • avatar
    deseczka
    20 znakowe indywidualne hasło do benchmark, nie chce mi się zmieniać, niech sobie łamią :-P
    -1
  • avatar
    Thorns
    może tak maile do użytkowników? by hasło zmienili
    -1
  • avatar
    bryszka
    no to placicie
    -1
  • avatar
    smigacz
    Ja osobiście uważam powiadomienie użytkowników artykułem, gdzieś w połowie strony, za niedostateczne. Warto by wysłać maila do wszystkich userów, a artykuł przypiąć na samej górze.
    -1
  • avatar
    Zef1r
    A ja się zastanawiałem dlaczego tyle spamu raptem zaczęło mi wpadać na maila zarejestrowanego w Benchmark.pl. Teraz już wiem.
    -1
  • avatar
    blebIeble
    benchmark pl nie potrafi porządnie zrobić okienka komentarzy więc co się dziwić.
    -2
  • avatar
    rrrrrr
    Tak to jest jak przekłada się bzduranewsy generujące kliknięcia z reklam nad zadbanie o cyberbezpieczeństwo.
    -2
  • avatar
    Ziomboy451
    Nie wiem czemu takie hasła jak adam25 zjest słabe? Wystarczy dodać " !@AdAm25!@ " i już jest porządne hasło :) a niektórzy robią hasło z jakiejś cyrylicy czy dziwnych znaczków i liter randomowych. Trochę wyobraźni
    -3
  • avatar
    wolak
    a ile dostaliście kasy za ten wyciek ??
    -3
  • avatar
    cacodemon
    To ile dajecie pinionżków za rekompensatę ?
    -3
  • avatar
    BrumBrumBrum
    Widzę że odstawiacie taką samą kichę jak inni. czyli skrypty web PHP mają bezpośredni wjazd w bazę. oznacza to brak izolacji, więc się nie dziwcie że cieknie, bo to kwestia czasu.
    Dla danych wrażliwych robi się api, aby baza nie była podawana na patelni. chyba że baza jest lepsza niż mysql, to wtedy blokujemy dla tabel z danymi wrażliwymi zapytania typu select * from . tutaj jak widać zabrakło wszystkiego. niejeden krytyczny tekst na ten temat napisałem, ale to jest walenie łbem w mur.
    -4
  • avatar
    wars045
    no powstala niematerialna szkoda i piszecie ze nie ma ryzyka narusznia praw wolnosci xD juz sam wyciek jest szkoda, od miesiaca mam spam na ten adres email ktory byl podany u was, przypadek ? i wy p... ze nic nie wycieklo
    -5
  • avatar
    Konto usunięte
    cóż
    jesli macie TAKIE PROBLEMY
    ...musimy się pożegnać
    - likwiduję konto
    -5
  • avatar
    Adrianwo
    Zatrudniacie najgorszą kadrę od serwerów!!! Wywalić ich wszystkich!!!
  • avatar
    Lister
    A mi tam nie chce się zmienić hasła, chociaż mam stare konto więc do złamania w dobę :P
    Może jak zatkają przeciek, może się skuszę na zmianę...
  • avatar
    solasoft
    probuje zresetowac haslo "Błąd 404.
    Nie znaleziono strony. " moze ktos pomoc ?
  • avatar
    underclocked
    U mnie na interii wiadomosć od serwisu byla 30.08. Niestety ten email jak i kolejny, gdy kliknalem reset hasła- oba trafiły do spamu.
  • avatar
    Moria
    Jeśli chcecie, żeby kolejny wyciek nie spowodował paniki wśród użytkowników, nie polecajcie jako bezpiecznych haseł 8 literowych. Nie wiem skąd bierzecie te zalecenia, pewnie sprzed 10-15 lat. Polecam webinarium Securaka https://www.youtube.com/watch?v=ztvhxdMxJRM Zdaje się, że pokazuje jak bruteforcem złamać hasło 8-literowe na wynajętej maszynie. Sensowne hasła powinny się zaczynać od 12 znaków. Ale im więcej tym lepiej. Warto obejrzeć cały film, o tworzeniu samych haseł 1:05:30. Pozdrawiam
  • avatar
    Zef1r
    Ja bym jeszcze proponował aby zabezpieczeniami benchmark.pl zajęli się specjaliści z Sekuraka. Co prawda ten portal jest skądinąd informatyczny, ale bez ściemniania nie każdy informatyk musi się znać na bezpieczeństwie. Zróbcie dobrą kawę kolegom z Sekuraka dołączając jakiegoś GTXa i będziecie kwita.
  • avatar
    mjwhite
    No cóż brzmi dość poważanie, ale ja nie pękam a benchmarkowi życzę powodzenia i bezpieczniejszej przyszłości : )
  • avatar
    Harrymaster
    Powinniście wysłać maile z tą informacją. Post przeczytałem dopiero dziś - półtora tygodnia po publikacji. I też znalazłem go przypadkiem. Jak już nie chcecie wysyłać maila to chociaż trzymajcie go jakiś czas na głównej stronie przypiętego jako kafelek.