Po ostatniej aferze hackerskiej związanej z wyciekiem loginów i haseł do skrzynek pocztowych z największych polskich portali [WP, Interia, Onet, O2] pozbyłem się w dość sprawny i myślę bezprawny sposób konta na popularnym portalu społecznościowym Nasza-Klasa. Ale o tym za chwilę.
Nie ma co zagłębiać się w przyczyny wycieku mojego hasła. Wbrew wcześniejszym informacjom nie zostało one przejęte ani przez phishing czy też przy użyciu keylogera. Nie korzystam z logowania na stronie Onet’u. Nie sprawdzam też poczty w miejscach z publicznym Internetem. Raczej najbardziej prawdopodobny jest wyciek z jednego z serwisów, w którym miałem konto robocze [dość głośno mówi się tutaj o portalu Gery.pl].
Natomiast skutki są już poważniejsze. Straciłem dostęp do skrzynki pocztowej. Była ona co prawda zbiegowiskiem śmieci całego Internetu, ale jak najbardziej przydatna i użyteczna. Onet oczywiście popisując się zadziwiającym refleksem, zablokował konta po kilku dniach od wykrycia wycieku. W dodatku prawdopodobnie owa lista loginów i haseł była, w niektórych kręgach znana od kilku miesięcy. Świadczyć o tym mogą w kilkudziesięciu [podobno] przypadkach nieaktualne pozycje haseł. Outlook, przez którego sprawdzam pocztę onetowską raczył poinformować mnie o niemożności pobrania listy maili. Zaniepokojony tym faktem po całym dniu absencji zajrzałem na stronę Onetu. Ku mojemu zdziwieniu zostałem uraczony komunikatem, iż konto zostało zablokowane ze względów bezpieczeństwa. Zaproponowano przywrócenie hasła poprzez wysłanie wiadomości SMS za jedyne 2zł lub odpowiedz na wcześniej ustanowione pytanie. Ochoczo przystąpiłem do opcji nr 2. Ku mojemu zdziwieniu pytanie umożliwiające odblokowanie poczty nie istniało i nie istnieje [to dziwne, ponieważ z tego co się orientuję, nie ma możliwości założenia poczty bez ustanowienia tego rodzaju pytania]. Próba kontaktu i wyjaśnienia z BOK Onetu oczywiście nie przyniosło zamierzonego efektu. Zaproponowano mi idealne rozwiązanie – wypełnienie specjalnego formularza w wersji papierowej, dołączenie skanu dowodu tożsamości i przesłanie całości na odpowiedni adres. Problem w tej metodzie jest następujący: zakładając konto typu „na spam” nie przywiązuje się większej uwagi na wymagane i konieczne do założenia konta dane.
Nie ma tego złego co… Kurwa! Nasza-Klasa również zawiodła. I to na całej linii. Nadgorliwa obsługa wyżej wymienionego portalu stwierdziła [cóż za logika], iż dbając o dobro swoich użytkowników zablokuje dostęp do osób z feralnej listy. Oczywiście moje konto zostało również zablokowane. Nie zostałem o tym fakcie jako użytkownik tego portalu poinformowany w jakikolwiek sposób – chociażby za pośrednictwem ich bloga, czy stosownej informacji podczas próby logowania. Myśląc, iż nastąpił włam i zmiana hasła na moim koncie zgłosiłem owy przypadek do supportu portalu. Na odpowiedz nie musiałem zbyt długo czekać. Poproszony o wypełnienie 10 punktowej listy, w skład w której wchodziły takie pytania jak link do profilu, login, data ostatniego logowania, data i godzina pierwszej nieudanej próby, dane osób mogące wpłynąć na taki stan rzeczy itd. – uczyniłem to wg. poleceń. W kolejnym mailu zostałem poinformowany, iż konto zostało zablokowane z powodów wycieku danych z polskich, popularnych serwisów pocztowych. Zalecono mi przywrócenie hasła na adres e-mail [pytam po jaką cholerę?]. Doznawszy dejavu postanowiłem dosadniej wytłumaczyć obsłudze portalu iż konto na Onecie zostało zablokowane z tego samego powodu co na Naszej Klasie. Oczywiście zostałem zbyty i jak zostało to sprawnie zauważone "zablokowanie poczty jest od nich niezależne" [nosz kurwa]. W takim razie zacząłem grać w inne karty – poprosiłem o przedstawienie procedur dotyczących sytuacji, w której chcę dysponować wizerunkiem własnym oraz danymi osobowymi zawartymi na moim profilu. Wystosowałem również zapytanie kto jest faktycznym właścicielem zawartych informacji na profilach Naszej Klasy [w tym zdjęć, opisów, tekstów i innych wartości niematerialnych i prawnych]. Nie dostałem pisemnej odpowiedzi. Natomiast w ramach rewanżu moje konto zostało w sposób bezczelny skasowane / zablokowane bez możliwości jego dalszego podglądu.
Wniosek: Idiotyzm, brak ludzkiej twarzy, stwarzanie samemu sobie i użytkownikom problemów.
W przypadku portalu Nasza Klasa istnieje wiele możliwości wymuszenia zmiany hasła podczas logowania. Chociażby wykorzystując do tego takie dane jak podane Gadu Gadu. nr telefonu, e-mail, data urodzenia czy miejsce zamieszkania. Brakło dobrej woli i odrobiny chęci. Tym sposobem stracili kolejnego użytkownika. Z takim podejściem sami się wykończą, zaczynając od śledzika, brak api po takie kwiatki jak blokowanie kont z jakichś dziwnych powodów. A skoro są lepsze i bardziej otwarte rozwiązania na potrzeby użytkowników i społeczności, czemu miałbym z nich nie korzystać.
Treść dyskusji z supportem NK do pobrania tutaj.
NK już raz wywinęła taki numer, po wycieku z Wykopu. Widzę, że nie nauczyli się na błędach — mogliby tylko blokować te konta które: a) mają to samo hasło w NK co na liście z e-mailem oraz konta w których ktoś chciałby odzyskać/zresetować hasło via e-mail.
@Piotr Konieczny albo monitorować tak jak FB logowania i adresy IP
Właśnie dlatego nie mam konta na fejsbuku, nk i innych badziewiach…
Piotrze, ale outlook sam w sobie też nie jest najlepszym programem pocztowym – on tez czasem może stać się przyczyną kłopotów…
@Kasia wiem… ma troche wad i troche momentami toporny. Ale wyciek wystąpil z jakiegoś forum / portalu spoza onetu / wp / o2 / interii. Po prostu wersja z włamem i wykradzeniem haseł a potem ich odkodowaniu jest najbardziej prawdopodobny.
to raczej nie był wyciek z portalu, tylko stosunkowo proste hasła które padły po brute forcie
„Nie zostałem o tym fakcie jako użytkownik tego portalu poinformowany w jakikolwiek sposób – chociażby za pośrednictwem ich bloga, czy stosownej informacji podczas próby logowania.” – Informacje o zmianie hasła i konieczności jego ponownego wygenerowania nk wysłała na … maila ;).
@Airborn: ekhm, że jak? Zrobili bruteforce na 10k adresów? 😀 Jak dla mnie wyciek bazy z jakiegoś portalu, pewnie hasła hashowane przez md5 (stąd tylko proste dostępne) i sprawdzenie gdzie poczta miała takie samo hasło => po zabawie ;).
ktoś na niebezpieczniku linkował nawet odpowiedni skrypt o ile dobrze pamiętam. AFAIR chodziło o to, że serwisy blokowały IP w momencie gdy to samo IP dobijało się ciągle do jednego konta, ale nie blokowały, gdy dobijało się po kolei do x kont
@ali „Informacje o zmianie hasła i konieczności jego ponownego wygenerowania nk wysłała na … maila ;)”
serio? jeśli to prawda to gratuluje NK mózgu
Ojej, to straszne! Czy to oznacza, że teraz jednak mam więcej znajomych niż Ty?
Ja dostałem coś takiego:
http://winhelp.jogger.pl/2010/06/30/nk-reaguje/
A i potwierdzam, hasło które mi wyciekło było nieaktualne – zmieniłem je po wycieku haseł z Wykopu 😀
jeszcze jeden mail od naszej klasy:
W przypadku, gdy odzyskanie kontroli nad kontem pocztowym jest niemożliwe, proponujemy Panu kontakt z Policją. Bezprawne przejęcie konta e-mailowego jest przestępstwem. Po przedstawieniu nam zaświadczenia o tym, że fakt przejęcia e-maila został zgłoszony Policji, będziemy mogli przywrócić Panu kontrolę nad kontem (zmieniając adres e-mail w Pana danych osobowych).
Pragnę poinformować, że nie istnieją inne procedury odzyskania lub usunięcia konta.
Z poważaniem,
Czyli jeśli dobrze rozumiem – mam zgłosić na policję fakt iż sama nasza klasa zablokowała mi dostęp do mojego konta na ich własnym portalu 😛