Wyciekła baza danych wykop.pl

[relons]

Przed chwilą przeczytałem, że wyciekła baza danych wykop.pl, ponieważ jeden z serwerów backupu nie miał założonych restrykcji i hasła na konto root(!!) serwera mysql. Pewnie wielu z was ma tam konto.

https://pokazywarka.pl/xly4r5/

https://www.wykop.pl/ramka/232212/wyciekla-baza-danych-wykopu

19:55 < mepholic> i'm getting bored
19:55 < mepholic> oh man
19:55 < mepholic> hey guys
19:55 < a> sup?
19:55 < mepholic> no root password on sql
19:56 < mepholic> mepholic@abydos:~$ mysql -h 91.102.117.202 -u root
19:56 < xxx> oh wow
19:56 < mepholic> Welcome to the MySQL monitor.  Commands end with; or \g.
19:56 < mepholic> Your MySQL connection id is 73535
19:56 < mepholic> Server version: 5.1.34-0.dotdeb.1 (Debian)
19:56 < mepholic> Type 'help;' or '\h' for help. Type '\c' to clear the buffer.
19:56 < a> nice!

Problem dotyczy kont założonych (podobno, wg. jednej z osób, która pisze w komentarzach) przed 2008-08-27 07:39:58. Moje konto niestety się łapie, nie wiem nawet z jakiego maila się rejestrowałem.

Najciekawszy jak dla mnie jest ten komentarz:

Wykop.pl nawet nie zdaje sobie sprawy ile zaplaca mi odszkodowania jak ktos cos kupi moim kontem allegro albo obrazi znajomych przez maila. Nic nawet nie bylo zakomunikowane ze nalezy zmienic hasla. Zrobcie wykop o gamoniwosci ludzi ktorzy pracuja przy tej stronie.

Niezła kompromitacja.

[mkr]

"no root password on sql"

Dla mnie naturalnym jest tworzenie unikalnych haseł w każdym serwisie.

[youngdee]

Wydaje mi się, że to prowokacja tak jak wykop z tymi hackerami z Turcji, że "wykop effect" spowodował przeciążenie serwera na który stała strona jakiejś grupy hackerskiej turków.

[relons]

@youngdee zauważ, że w komentarzach osoba, która dodała wykop podaje użytkownikom ich adresy e-mail. Bez dostępu do kopii bazy danych nie mogła by tego zrobić, więc informacja jest prawdziwa.

[youngdee]

Zauważ, że może pomysł wyciekł od administracji serwisu wykop którzy lubią czasami w ten sposób się pobawić i w ogóle by mnie to nie zdziwiło.

[Mroofka]

ostatnio wstawili reklamy adsense to będą z czego mieli wypłacać odszkodowanie

[Zielkq]

Dlatego najprościej używać kilku różnych haseł... (jeżeli nie do każdego serwisu innego)

[Tigras]

https://pokazywarka.pl/eksperyment2/

[Mion]

Dziwne zagrania

Może napisali to jako zasłonę dymną już po fakcie, by wyjść z twarzą z tej sytuacji.

[SilverT]

maja trochę chyba coś z główką. sądzą że to im przysporzy klientów? chyba trochę nie w tą stronę. już widzę te setki osób zmieniających hasła do emaili itp.

chociaż może i to na dobre wyszło

[Szemron]

W związku z włamaniem na jeden z testowych serwerów Wykop.pl, prosimy o jak najszybszą zmianę hasła do Twojego konta na Wykopie za pomocą formularza znajdującego się pod adresem: https://www.wykop.pl/user/change_password

Bliższe szczegóły dotyczące zaistniałej sytuacji opublikowaliśmy na naszym oficjalnym blogu: https://www.wykop.pl/blog/post/55

Przepraszamy za zaistniałą sytuację.

Administracja Wykop.pl

Takie coś właśnie wpadło do mojej skrzynki odbiorczej. Więc teraz co w końcu? Eksperyment czy wpadka?

[Zielkq]

Zapewne wpadka, którą chcą zatuszować eksperymentem... W sumie każdy sposób jest dobry, byle na siebie nie brać żadnej odpowiedzialności...

[slawek22]

"no root password on sql"

Dla mnie naturalnym jest tworzenie unikalnych haseł w każdym serwisie.

Jeśli dl SQL nie masz wejścia z zewnątrz... to po co ci hasła?

Wykop.pl nawet nie zdaje sobie sprawy ile zaplaca mi odszkodowania jak ktos cos kupi moim kontem allegro albo obrazi znajomych przez maila.

Za to ja wiem - 0 PLN

[Bełdzio]

https://pokazywarka.pl/eksperyment2/

imho jakby to była zabawa userów to admini nie słali by maila o zmianę hasła. mogliby sobie w logach spr czy ktoś z zewnątrz łączył się z bazą, aby wiedzieć czy doszło do kompromitacji; nikt o zdrowych zmysłach nie promuje się pisząc, że jego serwis został shakowany (nie licząc prima aprilis )

[SirZooro]

"no root password on sql"

Dla mnie naturalnym jest tworzenie unikalnych haseł w każdym serwisie.

Jeśli dl SQL nie masz wejścia z zewnątrz... to po co ci hasła?

Warto mieć, bo pomyłki się zdarzają. Podam swój przykład - na wersji rozwojowej skryptu ustawiłem sobie możliwość logowania się bez hasła na swoje konto. Kiedyś przez pomyłkę zapomniałem tego wyłączyć, i wypuściłem taką wersję. Na szczęście nic poważnego się nie stało (chociaż i tak z mojego konta został wysłany email). Na przyszłość jednak się zabezpieczyłem przez takimi "niespodziankami" - dodałem kawałek kodu zezwalający na logowanie bez hasła tylko z localhosta. Później zresztą całkiem to wywaliłem, i zastąpiłem zupełnie innym rozwiązaniem.

To samo dotyczy bazy danych bez hasła - pomyłka w konfiguracji na routerze może wystawić ją do internetu. Zresztą nie trzeba aż tyle - "ciekawy" użytkownik konta na tym serwerze też mógłby zechcieć do niej zaglądnąć.