pátek 5. prosince 2014

Jabbim - bezpečnostní problém / security issue

Vážení uživatelé,
máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.

Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.

Je to velmi nepříjemné, omlouváme se za způsobené problémy.
Jabbim.cz

Dear users,
we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.

Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.

It is very annoying, we apologize for the inconvenience caused.
Jabbim.com




FAQ

Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

25 komentářů:

  1. Zdravim,

    byla hesla v db ulozena v otevrene forme nebo nejak zahashovane?

    OdpovědětVymazat
  2. Pokud to můj klient neumí (Pidgin), lze si heslo změnit někde na jabbim.cz?

    OdpovědětVymazat
    Odpovědi
    1. umi: pidgin-ucty(xxx@jabbim.cz)-zmena hesla. tak sem to zrobil.

      Vymazat
  3. Přístupové údaje k dalším službám (icq) byly získány také?

    OdpovědětVymazat
  4. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat
  5. https://secure.jabbim.com/client/ Tady se muzes prihlasit a pak si vpravo nahore zmenit heslo

    OdpovědětVymazat
  6. In Adium, log in, go to the File menu, scroll down to "Disconnect" and you will see a list of actions you can perform. Choose "Change Password". A new window will appear. Enter your preferred password and click "OK".

    In Gajim, go to "Accounts" (through "Edit" menu), choose your account, expand "Administration operations" on "Account" tab, click "Change Password", type a new password twice, and click "OK".

    In Pidgin, go to "Accounts", select your account, and choose "Change Password..."

    In Psi, go to "Account Setup", choose your account, click "Modify", type a new password, and click "Change..."

    OdpovědětVymazat
  7. FAQ

    Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
    Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

    OdpovědětVymazat
  8. Za to muze urcite Putin... nerad! Drzim palce at je podezreni liche.

    OdpovědětVymazat
  9. Pokud klient neumoznuje zmenu hesla a umoznuje poslat rawxml je mozne zmenit heslo zaslanim xml viz http://xmpp.org/extensions/xep-0257.html#sect-idp1561936
    otestovano funguje

    OdpovědětVymazat
  10. Nechápu, proč jsou hesla uložena jako plaintext a ne v hashi. :-( Je to fail a ani ten odkaz mě nepřesvědčil, že je to správně. Mě také jednou napadli jeden web, ale díky tomuto jsem uchránil hesla, ač to také bylo nepříjemné. Ale plaintext??? Boha jeho...

    OdpovědětVymazat
  11. Tou SQL injection a hesly v plaintextu jsem docela zklamán tedy.... Myslel jsem že jabbim má lepší úroveň...

    OdpovědětVymazat
    Odpovědi
    1. Nápodobně. Nečekal jsem, že zrovna na jabbim bylo tak prozíravé si dát jinak nepoužívané triviální heslo.

      Vymazat
  12. Zdravím, je možné to heslo zmeniť aj nejakým iným spôsobom, ako z prihláseného klienta? Napr. nejakou "reset password" URL, poslanou na email? Jabbim som nejakú dobu nepoužíval a teraz mi webklient na prihlasovacie údaje vytrvalo hlási "Autorizace se nezdařila" :)

    OdpovědětVymazat
  13. No ocividne nema cenu heslo menit, kdyz ZASE bude v plaintextu ulozene nekde v DB .. za mesic budem menit znova az to zas nekdo hackne....

    Nechapu jak nekdo na ejabberd muze ospravedlnovat ukladani hesel v plaintextu v DB, vzdyt to je nejvetsi nesmysl co jsem vubec cetl. BTW clanek je z roku 2007 ... 7 let starej.

    OdpovědětVymazat
  14. It sounds like a good idea to ditch the deprecated DIGEST-MD5 mechanism leaving only PLAIN and SCRAM. This would (at least theoretically, I don't know about ejabberd's implementation) allow to keep only salted passwords (i.e. PKBDF) on the server. Clients that don't support SCRAM, could still authenticate with PLAIN over TLS.

    OdpovědětVymazat
    Odpovědi
    1. Yes, its look as good idea. Thanks you for your constructive attitude. pinky

      Vymazat
  15. Si robite srandu s tym plaintextom v DB? Odovodnenie v tom clanku je smiesne a zastarale. Ak budu aj nove hesla v plaintexte, tak idem rovno zacat hladat nejaku bezpecnejsiu alternativu k tejto sluzbe.

    OdpovědětVymazat
  16. Protože se to zvrhlo v diskuzi geeků, kteří o tématu něco vědí nebo si to myslí, je třeba říct, že za tím jsou nějaké důvody, proč ty hesla jsou uloženy tak jak jsou uloženy. http://prosody.im/doc/plain_or_hashed

    Řešení hash v db+plain na drátě+vynucené TLS a volitelný SCRAM je asi přístup, který zvolíme. Bohužel to je na našem sw řešení problém realizovat, takže to bude chvíli trvat.

    Primárním problémem byla moje stoletá a ostudná chyba, kterou jsem sekl ve skriptu pro hledání uživatelů, kdy jsem nekvalitně ošetřil vstupní proměnou z formuláře. Sekundární problém bylo, že jsem striktně neodělil sql uživatele tak, aby se útočník nedostal, kam neměl. To mne velmi mrzí a hrozně se omlouvám všem.

    Nejdříve se budu soustředit na audit všech rozhraní, které na webu máme a které koukají do databází, následně budeme řešit, jak dál s hesly na serveru.

    Ještě jednou omluva a přeji všem lepší víkend, než jsem si připravil já svojí blbostí.
    pinky

    OdpovědětVymazat
    Odpovědi
    1. Co je na nelibosti k ukládání hesel v plaintextu geekovského? V odkazu je diskze ohledně implementace. Ale tady nikdy nešlo o implementaci ale o fakt, že vzhedem k tomu kolik služeb průměrný člověk používá, čas od času se prostě stane, že je problém s bezpečností a nějaké údaje uniknou. A služba, která má hesla uložená v podobě kdy jsou pro útočníka použitelná, zvyšuje riziko napadnutí i dalších služeb. (navíc, když vezmeme v úvahu že lidi mají tendence používat jedno nebo dvě hesla na všechny služby....)

      Tj nehledě na implementaci, plaintextová hesla je imho dost blbý nápad. (samozřejmě další problémy jsou věci jako odchycení hesla na síti atd...)

      Vymazat
    2. Dalším, a mnohem větším problémem je, že jako uživatel nevím, kdo všechno má k databázi s hesly přístup. Jak můžu vědět že si moje heslo nemůže z databáze vytáhnout například nějaká uklízečka?

      Btw, odkazů je ke každému názoru spoustu. To že pošleš nějaký odkaz, kde si kdosi mele svou jen z jednoho úhlu pohledu neznamená, že máš pravdu. Např http://plaintextoffenders.com/faq/devs

      Vymazat
    3. Myslím, že na abclinuxu.cz nebo rootu je k 100 příspěvkovým diskuzím o vhodnosti či nevhodnosti plaintext hesel v kombinaci s Jabber serverem už dost blízko, já svůj názor řekl a nemíním se na podobných diskuzích podílet.

      Plaintext hesla na serveru si bezproblémů před svým svědomím obhájím, chybu, která k úniku databáze vedla, tu ne. Plaintext v db chránil v případě Jabbimu tisíce lidí s nešifrovaným heslem na drátě. Ale pravda, doba pokročila. Víc se k tomu nehodlám vyjadřovat.

      Pracuju na řešení, jak to udělat, abychom měli bezpečněji hesla v databázi a připojilo se co nejvíce lidí.

      Ne jen pár geeků odtržených od reality všedního dne.

      Vymazat
    4. (Jsem ten samý Unknown člověk co nahoře, nějak špatně se mi připojuje google účet do diskuze)

      Opravdu je nutné pořád diskutujícím nadávat do "geeků odtržených od reality"? :) Asi docházejí argumenty....

      Abych tedy mluvil k věci, oceňuju práci na jabber i na opravě téhle chyby i přístup k řešení.

      Co se týče uložení hesel v plaintextu na serveru, není to jen otázka "it" bezpečnosti, ale i otázka se spoustou společenských faktorů (což moc nejde dohromady s těmi geeky, že?). A mnohokrát ve svém okolí (tj ne že by jedna pani povídala) jsem viděl kdo všechno má reálně v malých i velkých firmách či startupech přístup do databází a tj v případě hesel v plaintextu i k heslům. (Zase Zdůrazňuju, že se nebavím primárně o "technické" bezpečnosti).

      Na druhou stranu, nejednalo se o tak dobře spravované služby jako Jabbim, kde to je určitě všechno v pořádku :)

      Vymazat
  17. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat