Vystupuje pod prezývkou Igigi. Cez víkend skopíroval databázu stránky mobilného operátora Orange. Teraz napadol stránku poisťovne Union, mohol mať však prístup aj k údajom o klientoch poisťovne Uniqa a informáciách o UniCreditBank a HVB Bank. Neskôr pribudli weby Denik.cz a Atlas.sk.
BRATISLAVA. Ďalší veľký hackerský útok v priebehu niekoľkých dní. Zo servera poisťovne Union zrejme unikla webová databáza spolu s menami a heslami klientov na prihlásenie do systému, informáciami o zmluvách, e-mailovými adresami, adresami bydliska a ďalšími dátami, ktoré sa na serveri nachádzali.
Hacker Igigi vo svojom blogu, ktorý uverejnil v noci z utorka na stredu, tvrdí, že ich odtiaľ ukradol. Ako dôkaz priložil zoznamy tabuliek a informácie o niekoľkých klientoch poisťovne.
Je to už jeho štvrtý útok na slovenskú webovú stránku v priebehu dvoch týždňov.
"Takže líder na trhu? A čo tak investovať nejaké peniaze do bezpečnosti? Zaplatiť okolo 2000 eur ročne na testy, ktoré by zabránili podobným situáciám?" posmieva sa v článku Unionu. "A prosím, pre vaše dobro, nikdy už nepoužívajte túto vývojársku firmu opäť, pretože oni naozaj nevedia, čo robia. Je zázrak, že tá stránka stále funguje."
V stredu poobede na stránke hackera pribudli informácie aj o hackerskom útoku na server Denik.cz. Igigi opäť ukázal výpis tabuliek databázového servera. Zverejnil tiež niekoľko prihlasovacích mien a hesiel používateľov. Tentoraz pridal iba krátky odkaz: "Enjoy" (užite si to).
Nielen Union, aj Uniqa a ďalší
Čo všetko uniklo, koľkých klientov sa to týka a čo to pre nich znamená zatiaľ nie je jasné.
Aj keď hacker tvrdí, že napadol Union.sk, v databáze, ktorú zverejnil, figurujú aj tabuľky s názvami spoločností Uniqa, HVB Bank a UniCredit Bank. V prípade Uniqy sa z výpisu dá usudzovať, že by v nej mohli byť aj konkrétne zmluvy, v prípade HVBBank a UniCredit Bank to skôr vyzerá na databázy pochádzajúce z bežných informačných stránok, kde nie sú žiadne citlivé informácie.
Všetky vymenované subjekty spája firma, ktorá sa im stará o webové stránky - Aston ITM, spol. s r. o., sídliaca na Tomášikovej ulici v Bratislave. Dáta ostatných subjektov tak mohli v databáze figovať ako záloha z iných projektov.
Prepájanie projektov naznačuje aj fakt, že z adresy www.union.sk:12001/ sa možno dostať na stránku ďalšieho z klientov Astonu, firmu Ferona.
UniCredit Bank potvrdila, že spoločnosť Aston ITM im spravuje webovú stránku. "Táto stránka však obsahuje iba verejne dostupné informácie o produktoch a službách banky a o jej činnosti. Klientov môžeme ubezpečiť, že v prostredí spoločnosti Aston banka neprevádzkuje žiadne aplikácie, ktoré by obsahovali citlivé informácie alebo údaje o klientoch," povedala Zuzana Ďuďáková, hovorkyňa banky.
Uniqa aj Union zvažujú trestné oznámenie, čo uniklo ešte nehovoriaUnion v stanovisku, ktoré zaujal v stredu poobede priznal útok na stránku komerčnej poisťovne ako aj ďalšie servery, ktoré prevádzkuje Aston. "K prieniku do internej siete informačných systémov Union poisťovne však nedošlo," povedal Marián Abaffy zo spoločnosti. Čo a v akom rozsahu uniklo firma neuviedla, situáciu ešte posudzujú. Dodávateľ zvýši zabezpečenie serverov, Union možno podá trestné oznámenie na neznámeho páchateľa.
Situáciu naďalej analyzuje aj spoločnosť Uniqa, povedala SME PR manažérka spoločnosti Silvia Vlašková. V stredu poobede priznala, že hacker mal prístup k databáze cestovného poistenia, nie však ku kreditným kartám. "Uniqa zvažuje podanie trestného oznámenia," napísala v stanovisku Ingrid Drahošová, manažérka pre externú a internú komunikáciu. "Dôležitá je skutočnosť, že údaje o klientoch spoločnosti Uniqa neboli nikde zverejnené," povedala.
Spoločnosť Aston v stredu naobed denníku SME potvrdila prienik do databáz niektorých jej klientov. "Dnes, 23.12.2009, došlo k útoku na databázy niektorých našich klientov. Situáciou sa intenzívne zaoberáme, analyzujeme útok a rozsah prieniku do databáz. Aktuálne realizujeme sériu dodatočných opatrení na zvýšenie bezpečnosti webových stránok," povedal Taras Bača, managing partner, Aston ITM.
Čo všetko je v databáze (ukážky)UnionUniqa
...
union2004_insurance
union2004_insurance_hzs
union2004_insurance_hzs_osoba
union2004_insurance_karta_vyhod
union2004_insurance_period
union2004_insurance_question
union2004_insurance_syts
union2004_insurance_type
union2004_insurance_type_period
union2004_jobs
union2004_karty_tmp
hpz_hlasenie
hpz_osoba
hpz_zmluva
...
...
meno
priezvisko
ulica
psc
rc
mesto
telefon
uraz_poistna_suma
uraz_poistna_suma_v
...
Použili slabé heslo. Podobné slávnemu "nbusr123"
Hacker zverejnil aj heslá, ktorými administrátori vstupujú do databázy. Jedno, patriace k používateľskému menu root, sa veľmi podobá heslu nbusr123, ktoré sa stalo slávnym vďaka kauze hackerského útoku na Národný bezpečnostný úrad. SME.sk heslo nezverejní nakoľko nie je jasné, či ešte nie je v tomto momente aktívne.
Server Union.sk je desiaty web v priebehu dvoch týždňov, ktoré Igigi napadol. Minulú sobotu napadol stránku Orange.sk, predtým už ukradol 32 miliónov hesiel aj zo servera RockYou.com. V jednom z článkov spomína, že najbližšie dni bude útočiť viac.
"Je vianočný čas a veľa spoločností bolo tento rok naozaj dobrých, takže im môžem dať moje darčeky," napísal.
Hackerský útok na Atlas.sk: mená, heslá, ale nie k mailomZo stredy na štvrtok na blogu oznámil aj napadnutie portálu Atlas.sk. Majiteľom firmy zaželal "Merry Christmas". Z databázy si zobral redakčný obsah a používateľské mená a heslá k viacerým službám - napríklad Wanda.sk. E-mailové služby ale zjavne nenapadol.
Martin Kaniansky z Atlasu vo vštvrtok v noci SME potvrdil, že k útoku naozaj došlo. "Útočník získal štruktúru niektorých databáz redakčného systému," povedal. "Systémoví administrátori analyzujú spôsob a štruktúru útoku. V tomto momente by sme neradi konkretizovali bližšie informácie a kroky spoločnosti, ktoré budeme realizovať v najbližších hodinách a dňoch."
Kto je Igigi? Nikto nevieKto je v skutočnosti Igigi, to nikto nevie. Jediný spôsob, ktorý využíva na informovanie o svojich útokoch, je blog založený na serveri BayWords.com. Ten umožňuje úplne anonymné blogovanie a neuchováva o prispievateľoch žiadne informácie, ktoré by neskôr mohli poslúžiť na ich vypátranie.
Svoje články píše po anglicky, zameriava sa však zjavne na slovenské a české weby. Dosiaľ informoval o útoku na štyri slovenské, päť českých a jeden americký server.
"Z toho, čo uverejnil na webe, súdim, že sa zrejme špecializuje na sql injection (spôsob napadnutia databázy servera spôsobenej chybou v kontrole vstupných dát - pozn. red.), ale pokojne môže ísť aj o priame napadnutie servera - teda že sa dostane na server a dáta potom takto zverejní," myslí si Rastislav Turek z bezpečnostnej firmy Synopsi.
Nezverejňuje všetko, iba to, čo stačí na to, aby dokázal, že na webe naozaj bol a naozaj sa dostal k citlivým dátam.
Čo už hackolNázov serveraKedyČo uniklo
Union.sk (SK)23. december 2009Vďaka tomu, že prevádzkovateľ má na jednom mieste viacero databáz, unikli citlivé informácie o poisťovni Union, Uniqa a databázy pochádzajúce z banky HVBBank a UniCredit Bank. Viac informácií zisťujeme.
Zoner.cz (CZ)22. december 2009Získal databázu s údajmi o tisíckach zákazníkov.
Svetsluchatek.cz (CZ)22. december 2009Jeden z viacerých menších nternetových obchodov, ktoré Igigi napadol. Získal administrátorské heslá a priniesol pohľad do ich systému obchodu.
Wisdomsk.sk (SK)21. december 2009Kompletne skopíroval databázu
Orange.sk (SK)19. december 2009Ukradol databázu mysql servera, podľa Orange ale žiadne citlivé dáta. Nič nezverejnil. Viac informácií
RockYou.com (USA)15. december 2009Ukradol 32 miliónov loginov a hesiel z databázy servera, zverejnil iba heslá. Viac informácií
Rozzlobenimuzi.com (CZ)9. december 2009Stránka so šteklivým obsahom, hacker získal údaje o 320.000 jej registrovaných používateľoch
Shoptet.cz (CZ)8. december 2009Získal údaje o približne 2000 zákazníkoch
Racany (SK)8. december 2009Zatiaľ útok na najmenšiu stránku - stránku projektu Račany, Igigi skopíroval databázu, aj s používateľskými menami a heslami.
Csfd.cz (CZ)8. december 2009Ukradol databázu takmer 150.000 používateľov. Viac informácií
Rastislav Turek: Neviem kto je Igigi, ale asi Slovák alebo Čech
Kto by mohol byť Igigi? Možno bezpečnostný analytik, ale určite nevyzerá na školáka, povedal v stredu v rozhovore Rastislav Turek, bezpečnostným analytik spoločnosti Synopsi a autor úspešného weblogu o bezpečnosti na internete.
Z toho, čo Igigi uverejňuje, čo sa dá o ňom povedať?
Z toho, čo uverejnil na webe, súdim, že sa zrejme špecializuje na sql injection (spôsob napadnutia databázy servera spôsobenej chybe v kontrole vstupných dát - pozn. red.), ale pokojne môže ísť aj o priame napadnutie servera - teda že sa dostane na server a dáta potom takto zverejní. Zjavne sa zameriava na akékoľvek weby - malé i veľké. Dosť ťažko sa v ňom číta.
Myslíte si, že to je niekto z našich končín?
No vzhľadom na to, že sa venuje lokálnym webom a ukazuje ich určitú znalosť, tak myslím, že môže ísť o Slováka alebo Čecha.
Z toho, čo ste videli, máte pocit, že je Igigi ako hacker v niečom výnimočný? Alebo je len prvý, kto začal jeden po druhom testovať bezpečnosť webov v našich končinách?
Určite u nás existujú podobne šikovní ľudí, ktorí sú schopní preniknúť na servery relatívne veľkých spoločností. Skôr je otázka, aká je jeho motivácia. Ak sa pozriete na to, čo uverejňuje, tak sa väčšinu vecí snaží cenzurovať, akoby tie prieniky chcel udržať v takej pololegálnej rovine. Takže ja by som ho tipoval na nejakého bezpečnostného konzultanta, lebo vidieť na ňom, že má aj určité morálne zásady.
Chce sa iba pochváliť tým, čo vie?
Nie, to by som nepovedal, skôr poukázať na tie bezpečnostné trhliny, lebo keby sa chcel pochváliť, tak to nepíše anonymne.
Sú aj v zahraničí podobní hackeri, ktorí jeden za druhým podrobujú svojim testom veľké servery?
Myslím, že Igigi je dosť podobný rumunskému hackerovi Unuovi, ktorý s tým začal pred rokom (Unu vo februári 2009 napadol stránky antivírusových spoločností Symantec a Kaspersky - pozn. red.). Dnes napríklad zverejnil hackerský útok na Intel a snaží sa ukázať, že sú deravé. Ale Unu sa narozdiel od Igigiho až tak neskrýva.
Je na tom, čo Igigi robí, podľa vás pre trh niečo pozitívne?
Ja mu v istom zmysle tlieskam, lebo bolo načase, aby niekto ukázal, ako je to s bezpečnosťou na Slovensku, na druhej strane ak to bude takto pokračovať ďalej, začne z toho vznikať veľká panika. Len boh vie, kto bude ďalší.
Máte pocit, že sa niekedy bude dať vypátrať?
Jedine, že by sám urobil pri tých útokoch nejakú chybu. Ale nevyzerá to na nejakého školáka.(tu)
