pátek 5. prosince 2014

Jabbim - bezpečnostní problém / security issue

Vážení uživatelé,
máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.

Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.

Je to velmi nepříjemné, omlouváme se za způsobené problémy.
Jabbim.cz

Dear users,
we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.

Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.

It is very annoying, we apologize for the inconvenience caused.
Jabbim.com




FAQ

Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

35 komentářů:

  1. Zdravim,

    byla hesla v db ulozena v otevrene forme nebo nejak zahashovane?

    OdpovědětVymazat
  2. Pokud to můj klient neumí (Pidgin), lze si heslo změnit někde na jabbim.cz?

    OdpovědětVymazat
    Odpovědi
    1. umi: pidgin-ucty(xxx@jabbim.cz)-zmena hesla. tak sem to zrobil.

      Vymazat
  3. Přístupové údaje k dalším službám (icq) byly získány také?

    OdpovědětVymazat
  4. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat
  5. https://secure.jabbim.com/client/ Tady se muzes prihlasit a pak si vpravo nahore zmenit heslo

    OdpovědětVymazat
  6. In Adium, log in, go to the File menu, scroll down to "Disconnect" and you will see a list of actions you can perform. Choose "Change Password". A new window will appear. Enter your preferred password and click "OK".

    In Gajim, go to "Accounts" (through "Edit" menu), choose your account, expand "Administration operations" on "Account" tab, click "Change Password", type a new password twice, and click "OK".

    In Pidgin, go to "Accounts", select your account, and choose "Change Password..."

    In Psi, go to "Account Setup", choose your account, click "Modify", type a new password, and click "Change..."

    OdpovědětVymazat
  7. FAQ

    Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
    Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

    OdpovědětVymazat
  8. Za to muze urcite Putin... nerad! Drzim palce at je podezreni liche.

    OdpovědětVymazat
  9. Pokud klient neumoznuje zmenu hesla a umoznuje poslat rawxml je mozne zmenit heslo zaslanim xml viz http://xmpp.org/extensions/xep-0257.html#sect-idp1561936
    otestovano funguje

    OdpovědětVymazat
  10. Nechápu, proč jsou hesla uložena jako plaintext a ne v hashi. :-( Je to fail a ani ten odkaz mě nepřesvědčil, že je to správně. Mě také jednou napadli jeden web, ale díky tomuto jsem uchránil hesla, ač to také bylo nepříjemné. Ale plaintext??? Boha jeho...

    OdpovědětVymazat
  11. Tou SQL injection a hesly v plaintextu jsem docela zklamán tedy.... Myslel jsem že jabbim má lepší úroveň...

    OdpovědětVymazat
    Odpovědi
    1. Nápodobně. Nečekal jsem, že zrovna na jabbim bylo tak prozíravé si dát jinak nepoužívané triviální heslo.

      Vymazat
  12. Zdravím, je možné to heslo zmeniť aj nejakým iným spôsobom, ako z prihláseného klienta? Napr. nejakou "reset password" URL, poslanou na email? Jabbim som nejakú dobu nepoužíval a teraz mi webklient na prihlasovacie údaje vytrvalo hlási "Autorizace se nezdařila" :)

    OdpovědětVymazat
  13. No ocividne nema cenu heslo menit, kdyz ZASE bude v plaintextu ulozene nekde v DB .. za mesic budem menit znova az to zas nekdo hackne....

    Nechapu jak nekdo na ejabberd muze ospravedlnovat ukladani hesel v plaintextu v DB, vzdyt to je nejvetsi nesmysl co jsem vubec cetl. BTW clanek je z roku 2007 ... 7 let starej.

    OdpovědětVymazat
  14. It sounds like a good idea to ditch the deprecated DIGEST-MD5 mechanism leaving only PLAIN and SCRAM. This would (at least theoretically, I don't know about ejabberd's implementation) allow to keep only salted passwords (i.e. PKBDF) on the server. Clients that don't support SCRAM, could still authenticate with PLAIN over TLS.

    OdpovědětVymazat
    Odpovědi
    1. Yes, its look as good idea. Thanks you for your constructive attitude. pinky

      Vymazat
  15. Si robite srandu s tym plaintextom v DB? Odovodnenie v tom clanku je smiesne a zastarale. Ak budu aj nove hesla v plaintexte, tak idem rovno zacat hladat nejaku bezpecnejsiu alternativu k tejto sluzbe.

    OdpovědětVymazat
  16. Protože se to zvrhlo v diskuzi geeků, kteří o tématu něco vědí nebo si to myslí, je třeba říct, že za tím jsou nějaké důvody, proč ty hesla jsou uloženy tak jak jsou uloženy. http://prosody.im/doc/plain_or_hashed

    Řešení hash v db+plain na drátě+vynucené TLS a volitelný SCRAM je asi přístup, který zvolíme. Bohužel to je na našem sw řešení problém realizovat, takže to bude chvíli trvat.

    Primárním problémem byla moje stoletá a ostudná chyba, kterou jsem sekl ve skriptu pro hledání uživatelů, kdy jsem nekvalitně ošetřil vstupní proměnou z formuláře. Sekundární problém bylo, že jsem striktně neodělil sql uživatele tak, aby se útočník nedostal, kam neměl. To mne velmi mrzí a hrozně se omlouvám všem.

    Nejdříve se budu soustředit na audit všech rozhraní, které na webu máme a které koukají do databází, následně budeme řešit, jak dál s hesly na serveru.

    Ještě jednou omluva a přeji všem lepší víkend, než jsem si připravil já svojí blbostí.
    pinky

    OdpovědětVymazat
    Odpovědi
    1. Co je na nelibosti k ukládání hesel v plaintextu geekovského? V odkazu je diskze ohledně implementace. Ale tady nikdy nešlo o implementaci ale o fakt, že vzhedem k tomu kolik služeb průměrný člověk používá, čas od času se prostě stane, že je problém s bezpečností a nějaké údaje uniknou. A služba, která má hesla uložená v podobě kdy jsou pro útočníka použitelná, zvyšuje riziko napadnutí i dalších služeb. (navíc, když vezmeme v úvahu že lidi mají tendence používat jedno nebo dvě hesla na všechny služby....)

      Tj nehledě na implementaci, plaintextová hesla je imho dost blbý nápad. (samozřejmě další problémy jsou věci jako odchycení hesla na síti atd...)

      Vymazat
    2. Dalším, a mnohem větším problémem je, že jako uživatel nevím, kdo všechno má k databázi s hesly přístup. Jak můžu vědět že si moje heslo nemůže z databáze vytáhnout například nějaká uklízečka?

      Btw, odkazů je ke každému názoru spoustu. To že pošleš nějaký odkaz, kde si kdosi mele svou jen z jednoho úhlu pohledu neznamená, že máš pravdu. Např http://plaintextoffenders.com/faq/devs

      Vymazat
    3. Myslím, že na abclinuxu.cz nebo rootu je k 100 příspěvkovým diskuzím o vhodnosti či nevhodnosti plaintext hesel v kombinaci s Jabber serverem už dost blízko, já svůj názor řekl a nemíním se na podobných diskuzích podílet.

      Plaintext hesla na serveru si bezproblémů před svým svědomím obhájím, chybu, která k úniku databáze vedla, tu ne. Plaintext v db chránil v případě Jabbimu tisíce lidí s nešifrovaným heslem na drátě. Ale pravda, doba pokročila. Víc se k tomu nehodlám vyjadřovat.

      Pracuju na řešení, jak to udělat, abychom měli bezpečněji hesla v databázi a připojilo se co nejvíce lidí.

      Ne jen pár geeků odtržených od reality všedního dne.

      Vymazat
    4. (Jsem ten samý Unknown člověk co nahoře, nějak špatně se mi připojuje google účet do diskuze)

      Opravdu je nutné pořád diskutujícím nadávat do "geeků odtržených od reality"? :) Asi docházejí argumenty....

      Abych tedy mluvil k věci, oceňuju práci na jabber i na opravě téhle chyby i přístup k řešení.

      Co se týče uložení hesel v plaintextu na serveru, není to jen otázka "it" bezpečnosti, ale i otázka se spoustou společenských faktorů (což moc nejde dohromady s těmi geeky, že?). A mnohokrát ve svém okolí (tj ne že by jedna pani povídala) jsem viděl kdo všechno má reálně v malých i velkých firmách či startupech přístup do databází a tj v případě hesel v plaintextu i k heslům. (Zase Zdůrazňuju, že se nebavím primárně o "technické" bezpečnosti).

      Na druhou stranu, nejednalo se o tak dobře spravované služby jako Jabbim, kde to je určitě všechno v pořádku :)

      Vymazat
  17. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat
  18. Thanks for sharing, nice post! Post really provice useful information!

    Giaonhan247 chuyên dịch vụ order hàng hàn quốc, vận chuyển ship hàng đức về Việt Nam, dịch vụ mua đồng hồ trên amazon vì sao nên mua đồng hồ trên amazon cũng như giải đáp có nên mua đồng hồ trên amazon, kinh nghiệm mua đồng hồ sale off trên amazon cũng như kinh nghiệm mua hàng trên amazon uy tín.

    OdpovědětVymazat
  19. If there is a leak, it is not good. Such a leak would be a disaster if you were writing a dissertation, because you would have to start all over again.

    OdpovědětVymazat
  20. Thanks for sharing, nice post! Post really provide useful information! I really enjoy this website.
    Divorce Lawyers Tysons VA
    Divorce Lawyers CulpeperVA
    Divorce Lawyers Northern

    OdpovědětVymazat
  21. Jabbim" encounters a security issue that raises concerns about user data safety. Amidst its functionality as an instant messaging platform, recent vulnerabilities have surfaced, posing potential risks to user privacy and information security. These security problems demand immediate attention and resolution to ensure the safety of personal data and communication channels within the platform. While Jabbim has been a popular choice for messaging services, addressing these security issues is crucial to maintain user trust and uphold robust security standards, which are pivotal in today's digital landscape.
    virginia personal injury statute of limitations
    motorcycle accident injury attorney

    OdpovědětVymazat
  22. It's a great post, thanks for sharing! It offers a lot of helpful information. I love this page.dui lawyer prince william county va

    OdpovědětVymazat
  23. Jabbim, a popular XMPP/Jabber client, has recently faced security concerns that warrant attention. Users have reported potential vulnerabilities related to the encryption and privacy features of the platform. Some have raised issues regarding the handling of sensitive information and the overall robustness of Jabbim's security protocols. While the platform has been a reliable choice for instant messaging, these security concerns underscore the importance of continuous vigilance and updates in the rapidly evolving landscape of online communication. It is recommended that users exercise caution and stay informed about the latest security patches and updates from Jabbim to mitigate potential risks and ensure a secure messaging environment.
    motorcycle accident lawyer near me
    contract dispute

    OdpovědětVymazat
  24. Desain cafe outdoor, rancang keberlanjutan keuangan dengan kreativitas! desain cafe outdoor

    OdpovědětVymazat
  25. Semoga kalian Semua kumpulan link download ebook pdf bahasa indonesia dan semuanya Temukan kumpulan link download ebook PDF dalam bahasa Indonesia di berbagai situs terpercaya untuk memperluas wawasan literatur Anda. kumpulan link download ebook pdf bahasa indonesia

    OdpovědětVymazat