Rootnode rozesłało swoim użytkownikom informację o ataku, w wyniku którego do sieci wyciekły dane wszystkich (przeszłych i obecnych) użytkowników usługi. W tej samej wiadomości zapowiedziano również zamknięcie usługi (wciąż czekam na potwierdzenie).

Poniżej prezentuję treść rozesłanego ogłoszenia, wciąż czekam na potwierdzenie, ze względu na obawę, że jest to kolejny efekt ataku na serwery Rootnode:

Szanowni użytkownicy,

miało miejsce włamanie na serwery Rootnode wraz z wyciekiem naszej systemowej
bazy danych do Internetu. Baza zawierała dane osobowe wszystkich użytkowników,
zarówno obecnych, jak i byłych.

Sprawę traktujemy poważnie, przeglądamy logi i szukamy śladów. Jeśli tylko
zdobędziemy sensowny materiał dowodowy sprawa zostanie zgłoszona na policję.
Niestety ze wstępnej analizy wynika, że nikłe są szanse na znalezienie sprawcy
a sam atak nastąpił dużo wcześniej niż wyciek danych, co było sprytnym
zagraniem włamywacza.

Zrzut bazy danych został zamieszczony na jednym z serwisów do udostępniania
plików. Zaraz po informacji o włamaniu zostało zgłoszone nadużycie
i po kilku godzinach plik został usunięty.

Udostępnione dane zawierały takie informacje osobowe jak:
imię, nazwisko,
nazwa firmy, NIP
numer telefonu, adres
lista domen,
lista kont pocztowych,
lista płatności i faktur,
hasła (zakodowane) do serwera SSH,
hasła (zakodowane) do kont pocztowych,
hasła (niezakodowane) do kont FTP,
certyfikaty VPN

Nie przechowywaliśmy numerów PESEL użytkowników.

Wchodząc w szczegóły techniczne należy wspomnieć, że baza znajduje się
na osobnym serwerze z dostępem ograniczonym jedynie dla serwerów Rootnode.
Do bazy łączy się program Szatan odpowiedzialny za zarządzanie kontem oraz za
czytanie i zapisywaniem danych do bazy systemowej. Uwierzytelnianie
użytkowników w Szatanie odbywa się za pomocą socketów uniksowych dlatego
konieczne jest działanie demona na maszynie shellowej. Przez to właśnie
uzyskując dostęp do maszyny shellowej można podglądnąć plik konfiguracyjny
Szatana, w którym zapisane są dane dostępowe do systemowej bazy danych.

Prawdopodbnie tym sposobem została wykradziona baza danych. Co więcej
o ostatnim czasie w Linuksie pojawiły się dwie krytyczne dziury, które
umożliwiały łatwy atak na serwer shellowy (memipodder oraz sudo).

W sytuacji takiego ataku należy założyć najbardziej pesymistyczny scenariusz,
że wszystkie serwery zostały skompromitowane. Oznacza to kilka rzeczy:

1. systemy nie nadają się do użytku i muszą zostać przeinstalowane ze
względu na możliwość istnienia backdorów, rootkitów oraz łatwego
wyprowadzania ataków za pośrednictwem tych maszyn.

2. istnieje szansa na pojawienie się szkodliwego kodu w stronach
hostowanych na Rootnode. Taki kod także może służyć do różnego rodzaju
ataków lub do zbierania informacji o użytkownikach.

Zastanawiając się nad sensownością ataku bierzemy pod uwage trzy powody:

1. osobista zemsta wymierzona w Rootnode oraz we mnie
2. nieczyste zagranie ze strony konkurencji
3. dzieciak (script kiddie) wykorzystujący gotowy exploit i udostępniający
dane w ramach trofeum.

W takim środowisku jakim jest Rootnode bardzo trudno jest utrzymać wysoki
poziom bezpieczeństwa, ponieważ oznaczałoby to ograniczenia na każdym kroku.
Niemniej jednak jest mi bardzo przykro z zaistniałej sytuacji, a także
za brak utylizacji starych danych osobowych.
Przepraszam za poniesione straty.

Obecna sytuacja, wasze komentarze i opinie wskazują jednoznacznie, że
pora na zakończenie i zamknięcie projektu Rootnode.

Pozdrawiam serdecznie.

News będzie aktualizowany w wypadu pojawienia się wszelkich informacji zwiewających wątpliwości dotyczące autentyczności wiadomości. Sytuację można monitorować również w serwisie Rootnode status.

AKTUALIZACJA:

Według najświeższych informacji Rootnode startuje od nowa otwierając swoje biuro w Krakowie.