Vdor v YouPorn razkriva tisoče gesel
Matej Huš
23. feb 2012 ob 16:59:18
Za zdaj še neznani napadalci so vdrli v strežnik strani YouPorn in pridobili vsaj 6400 uporabniških imen in pripadajočih gesel, ki so jih nato javno objavili na spletu. Odgovornost za vdor to pot večidel leži na YouPornovih plečih, saj so napadalci zlorabili veliko varnostno pomanjkljivost. YouPorn je 93. najbolj priljubljena spletna stran na internetu (v absolutni kategoriji) in najbolj priljubljena pornografska stran. Dostopna je brezplačno, na njej je več videoposnetkov po vzorcu YouTuba, uporabniki pa se lahko za uporabo dodatne funkcionalnosti in nalaganje lastnih vsebin brezplačno registrirajo.
Sodeč po trenutno dostopnih podatkih je pisec strani oziroma njenega dela že leta 2007 pustil vključeno beleženje vseh dostopov za namene diagnostike in razhroščevanja (debugging log on) prek javno dostopnega naslova. Ali je šlo za malomarnost ali namerno ravnanje, verjetno ne bo znano nikoli. V petih letih ni tega opazil nihče (oziroma vsaj ukrepal ni nihče), nato pa je ta teden nekdo naslov našel. Hekerjem je s tem padla sekira v med, saj so pridobili prijavne podatke več tisoč posameznikov.
Škoda zanje je dvakratna. Poleg očitnega problema, ki bo nastal zaradi recikliranja gesel (to je uporabe enakih prijavnih podatkov na več straneh, kar je zelo odsvetovana praksa), so škodljivi že sami elektronski naslovi, saj si marsikdo ne želi, da je obstoj njegovega računa na pornografski stran javna informacija. Hekerji so tudi že preizkusili pridobljene podatke na Gmailu, Facebooku in podobnih straneh in se uspeli prijaviti v račune nekaterih prizadetih uporabnikov, ki so uporabljali enako geslo. Nekaj tako zbranih podatkov, zlasti fotografij, so tudi javno objavili.
YouPorn je kompromitirani strežnik že umaknil, a škoda je že storjena. Na internetu tako najdemo razrez elektronskih naslovov po ponudniku (vodi Hotmail, sledi Gmail) in vizualizacijo najpogostejših gesel.