Události posledních dní
Do sekce Hattrick-cz.com - Novinky napsal Robin 19. března 2008 v 15:46. 6167 přečtení.

Mnozí vědí, mnozí tuší, mnozí nadávají, takže článek už je pomalu na místě. Minulý týden se stala věc vskutku nemilá - někdo se přihlásil na Hattrick-cz pod Robasovým účtem (jehož oprávnění jsou příznačně označována jako "superadmin"). Nejenže smazal pár náhodných článků a pár jich zeditoval (o nic jste nepřišli, visící poprsí postarší slečny na hlavní stránce jsem se nakonec rozhodl zcenzurovat), prošel si i celou administrací a promazal veškerá oprávnění uživatelů do jednotlivých sekcí a jako bonus všechny tipovačky včetně historií. Ještě než se dostanu k samotnému rozsahu škod, nějaké info k onomu útočníkovi - IP evidentně pochází z pražské školy "Na Třebešíně", o získání Robasova hesla se snažil 12.3.2008 v odpoledních, večerních a potažmo nočních (23:55) hodinách. Kdyby měl někdo jakékoliv info, napište mi, díky.

Bezpečnost hesel

Hesla jsou v databázi uloženy jako md5 hashe samotných hesel, to bylo také to, k čemu se útočník dostal. K libovolnému uživatelskému ID si vyjížděl md5 hash hesla daného uživatele a pak jej nejspíš zkusil spárovat s nějakým slovníkem, což se třeba u Robase povedlo. Cesta, kterou se mu to povedlo, už byla uzavřena, včetně dalších potenciálních bezpečnostních mezer ve skriptech na webu, útoky podobného rázu by prozatím měly být odraženy. Z databáze bylo vytaženo asi 100 md5 hashů uživatelů, z toho jich spousta byla dávno neaktivních.

I proto jsem jako opatření proti tomuhle úniku nastavil všechny stávající uživatele jako "pending", tj. nutno změnit heslo. Zároveň dojde k už vcelku nutné čistce uživatelů, spáruje se ht-cz login s userid na HT (ne teamid jak tomu bylo dosud) a čistky uživatelů se budou provádět samy průběžně. Používáte-li stejný username a heslo jako zde i na jiných webech, doporučuji jeho změnu.

Smazané databáze

Přišli jsme prakticky nenávratně o ne až tak klíčové přístupy k jednotlivým sekcím (něco doplním, něco ne, stačí mi napsat). Smazaných a poupravených článků nebylo tolik, chybí-li vám nějaký vlastní, zkuste zapátrat po zdrojovém textu a přidat ho znovu. Sám ještě v tomhle směru vyvinu nějakou aktivitu, backup je sice hodně starý, ale něco by se v něm snad najít dalo. Tipovačky bohužel nezachráním, co se natipovalo tuhle sezonu, je víceméně ztraceno. Mrzí mě to, s Mravencem budeme nějak v nejbližší době spolupracovat na řešení globalních tipovaček, o ligové je potřeba zažádat si znovu. Už tu mám nějaký buffer, schválím a přidám.

Chybové hlášky na webu

Zasahoval jsem do velké většiny skriptů, opravil jsem velkou většinu chyb, které tyhle zásahy vyprodukovaly, téměř se 100% jistotou ovšem ne všechny :) Vyskočí-li na vás nějaká chyba, pošlete mi mail, pm nebo se zastavte na IRC.

Finále

A aby to všechno nebyly jenom průšvihy, povedlo se mi ještě před samotným útokem nechat schválit některé CHPP funkce, takže se mj. teď tipovačky stahují po večerech a po zápasech automaticky, změna je vidět hlavně ve stahování nadcházejících zápasů a výsledků pro uživatele IRC. A až si projdeme touhle trpkou fází, bude toho určitě víc...


(Velkovezir, 26. března 2008 v 14:38)

smradi zatracený, k čemu jim to je, to si nad tím doma leští lofasa? já jsem na to za mladých let používal Leo.