Dostałem na skrzynkę wiadomość niby od administratorów Wykopu z informacją abym zalogował się na ich stronę i zmienił hasło, bo ponoć było włamanie i jestem w niebezpieczeństwie. Oczywiście pomyślałem, że to kolejna lamerska próba phishingu (to przecież standard podszywać się pod banki, pod Allegro i prosić aby na fałszywej stronie podać swoje prawdziwe hasło pod pretekstem włamania).

Ale nie. To nie lamerska próba phishingu, a kolejne z serii lamerskie zachowanie adminów Wykopu. List faktycznie został wysłany przez nich. Nie można było zrobić tego rzetelnie i wysłać list bez podanych odnośników? Wykopowicze znają przecież adres do Wykopu.

Ale pal licho ta lamerka. Okazuje się, że faktycznie admini zachowali się kiepsko już jakiś czas temu. Dokładnie w momencie kiedy zaczęli tworzyć nową wersję serwisu i owe testowe, na pewno zabugowione (jak każde testowe) oprogramowanie oparli na prawdziwej bazie danych użytkowników Wykopu :\

Cholera, sobie pomyślałem. Jest akurat tak, że mam cztery poziomy haseł: pierwszy do banków (jakby nie było składający się z ponad 20 znaków, nie zawierający żadnych słów w sobie), drugie do serwisów aukcyjnych, trzecie do poczty i czwarte do wszystkiego innego. W tym Wykopu.

Czyli ja mam całkiem spoko. Jak ktoś mi odczyta hasło do Wykopu, to co najwyżej włamie mi się na konto jakiegoś podrzędnego forum.

Tyle, że już teraz się okazuje, że osoby posiadające wykradzioną bazę danych już zaczęli testować swoje znalezisko. I jak widać w pierwszej kolejności postanowili zrobić sobie jaja z tych wykopowiczów, którzy te samo hasło zastosowali na Allegro. Jakby nie było w miejscu, na którym obraca się realnymi pieniędzmi.

Oto zrzut ekranu ze skrzynki pocztowej jednego z nieszczęśników:

Efekt? Kilkanaście zepsutych aukcji (w tym wypadku) i zamknięte konto nieszczęśnika.

Jakie z tego można wyciągnąć wnioski? Właściwie prozaiczne: tam gdzie obracasz pieniędzmi, stosuj unikalne hasła. A jeśli jesteś adminem jakiejś stronki, naucz się czym jest sól przy tworzeniu hashy. Bo zwykły hash już od dawna nie jest skuteczny.

Fajny tekst?

Pewnie, że fajny, ale tego na pewno jeszcze nie czytałeś:

• eBay chce bym coś podpisał
• Zakładamy konto na Allegro
• PP Allegro: uważaj na swoje pieniądze!