pátek 5. prosince 2014

Jabbim - bezpečnostní problém / security issue

Vážení uživatelé,
máme důvodné podezření, že došlo k úniku databáze s hesly uživatelů na jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Útočník pravděpodobně zneužil SQL injection chyby v našem skriptu pro hledání uživatelů, útok byl veden z Ruska. Chyba je již opravena, musíme ale předpokládat, že útočník získal přístup ke všem účtům.

Prosím, změňte si heslo ve vašem Jabber/XMPP klientu. Pokud stejné heslo používáte i na jiné službě, změňte si ho i tam.

Je to velmi nepříjemné, omlouváme se za způsobené problémy.
Jabbim.cz

Dear users,
we have a suspicion there was a database leak containing the user passwords of jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl and jabber.root.cz accounts. The attacker exploited the database using SQL injection bug in our script handling user search, the attack was from Russia. The error has been corrected, but we assume that the attacker gained access to all accounts.

Please change your password in your Jabber / XMPP client. If you also use the same password for other services, change it there as well.

It is very annoying, we apologize for the inconvenience caused.
Jabbim.com




FAQ

Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

48 komentářů:

  1. Zdravim,

    byla hesla v db ulozena v otevrene forme nebo nejak zahashovane?

    OdpovědětVymazat
  2. Pokud to můj klient neumí (Pidgin), lze si heslo změnit někde na jabbim.cz?

    OdpovědětVymazat
    Odpovědi
    1. umi: pidgin-ucty(xxx@jabbim.cz)-zmena hesla. tak sem to zrobil.

      Vymazat
  3. Přístupové údaje k dalším službám (icq) byly získány také?

    OdpovědětVymazat
  4. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat
  5. https://secure.jabbim.com/client/ Tady se muzes prihlasit a pak si vpravo nahore zmenit heslo

    OdpovědětVymazat
  6. In Adium, log in, go to the File menu, scroll down to "Disconnect" and you will see a list of actions you can perform. Choose "Change Password". A new window will appear. Enter your preferred password and click "OK".

    In Gajim, go to "Accounts" (through "Edit" menu), choose your account, expand "Administration operations" on "Account" tab, click "Change Password", type a new password twice, and click "OK".

    In Pidgin, go to "Accounts", select your account, and choose "Change Password..."

    In Psi, go to "Account Setup", choose your account, click "Modify", type a new password, and click "Change..."

    OdpovědětVymazat
  7. FAQ

    Plaintext or hash? Plaintext. https://www.ejabberd.im/plaintext-passwords-db
    Jak změnit heslo? How to change password? https://secure.jabbim.com/client/

    OdpovědětVymazat
  8. Za to muze urcite Putin... nerad! Drzim palce at je podezreni liche.

    OdpovědětVymazat
  9. Pokud klient neumoznuje zmenu hesla a umoznuje poslat rawxml je mozne zmenit heslo zaslanim xml viz http://xmpp.org/extensions/xep-0257.html#sect-idp1561936
    otestovano funguje

    OdpovědětVymazat
  10. Nechápu, proč jsou hesla uložena jako plaintext a ne v hashi. :-( Je to fail a ani ten odkaz mě nepřesvědčil, že je to správně. Mě také jednou napadli jeden web, ale díky tomuto jsem uchránil hesla, ač to také bylo nepříjemné. Ale plaintext??? Boha jeho...

    OdpovědětVymazat
  11. Tou SQL injection a hesly v plaintextu jsem docela zklamán tedy.... Myslel jsem že jabbim má lepší úroveň...

    OdpovědětVymazat
    Odpovědi
    1. Nápodobně. Nečekal jsem, že zrovna na jabbim bylo tak prozíravé si dát jinak nepoužívané triviální heslo.

      Vymazat
  12. Zdravím, je možné to heslo zmeniť aj nejakým iným spôsobom, ako z prihláseného klienta? Napr. nejakou "reset password" URL, poslanou na email? Jabbim som nejakú dobu nepoužíval a teraz mi webklient na prihlasovacie údaje vytrvalo hlási "Autorizace se nezdařila" :)

    OdpovědětVymazat
  13. No ocividne nema cenu heslo menit, kdyz ZASE bude v plaintextu ulozene nekde v DB .. za mesic budem menit znova az to zas nekdo hackne....

    Nechapu jak nekdo na ejabberd muze ospravedlnovat ukladani hesel v plaintextu v DB, vzdyt to je nejvetsi nesmysl co jsem vubec cetl. BTW clanek je z roku 2007 ... 7 let starej.

    OdpovědětVymazat
  14. It sounds like a good idea to ditch the deprecated DIGEST-MD5 mechanism leaving only PLAIN and SCRAM. This would (at least theoretically, I don't know about ejabberd's implementation) allow to keep only salted passwords (i.e. PKBDF) on the server. Clients that don't support SCRAM, could still authenticate with PLAIN over TLS.

    OdpovědětVymazat
    Odpovědi
    1. Yes, its look as good idea. Thanks you for your constructive attitude. pinky

      Vymazat
  15. Si robite srandu s tym plaintextom v DB? Odovodnenie v tom clanku je smiesne a zastarale. Ak budu aj nove hesla v plaintexte, tak idem rovno zacat hladat nejaku bezpecnejsiu alternativu k tejto sluzbe.

    OdpovědětVymazat
  16. Protože se to zvrhlo v diskuzi geeků, kteří o tématu něco vědí nebo si to myslí, je třeba říct, že za tím jsou nějaké důvody, proč ty hesla jsou uloženy tak jak jsou uloženy. http://prosody.im/doc/plain_or_hashed

    Řešení hash v db+plain na drátě+vynucené TLS a volitelný SCRAM je asi přístup, který zvolíme. Bohužel to je na našem sw řešení problém realizovat, takže to bude chvíli trvat.

    Primárním problémem byla moje stoletá a ostudná chyba, kterou jsem sekl ve skriptu pro hledání uživatelů, kdy jsem nekvalitně ošetřil vstupní proměnou z formuláře. Sekundární problém bylo, že jsem striktně neodělil sql uživatele tak, aby se útočník nedostal, kam neměl. To mne velmi mrzí a hrozně se omlouvám všem.

    Nejdříve se budu soustředit na audit všech rozhraní, které na webu máme a které koukají do databází, následně budeme řešit, jak dál s hesly na serveru.

    Ještě jednou omluva a přeji všem lepší víkend, než jsem si připravil já svojí blbostí.
    pinky

    OdpovědětVymazat
    Odpovědi
    1. Co je na nelibosti k ukládání hesel v plaintextu geekovského? V odkazu je diskze ohledně implementace. Ale tady nikdy nešlo o implementaci ale o fakt, že vzhedem k tomu kolik služeb průměrný člověk používá, čas od času se prostě stane, že je problém s bezpečností a nějaké údaje uniknou. A služba, která má hesla uložená v podobě kdy jsou pro útočníka použitelná, zvyšuje riziko napadnutí i dalších služeb. (navíc, když vezmeme v úvahu že lidi mají tendence používat jedno nebo dvě hesla na všechny služby....)

      Tj nehledě na implementaci, plaintextová hesla je imho dost blbý nápad. (samozřejmě další problémy jsou věci jako odchycení hesla na síti atd...)

      Vymazat
    2. Dalším, a mnohem větším problémem je, že jako uživatel nevím, kdo všechno má k databázi s hesly přístup. Jak můžu vědět že si moje heslo nemůže z databáze vytáhnout například nějaká uklízečka?

      Btw, odkazů je ke každému názoru spoustu. To že pošleš nějaký odkaz, kde si kdosi mele svou jen z jednoho úhlu pohledu neznamená, že máš pravdu. Např http://plaintextoffenders.com/faq/devs

      Vymazat
    3. Myslím, že na abclinuxu.cz nebo rootu je k 100 příspěvkovým diskuzím o vhodnosti či nevhodnosti plaintext hesel v kombinaci s Jabber serverem už dost blízko, já svůj názor řekl a nemíním se na podobných diskuzích podílet.

      Plaintext hesla na serveru si bezproblémů před svým svědomím obhájím, chybu, která k úniku databáze vedla, tu ne. Plaintext v db chránil v případě Jabbimu tisíce lidí s nešifrovaným heslem na drátě. Ale pravda, doba pokročila. Víc se k tomu nehodlám vyjadřovat.

      Pracuju na řešení, jak to udělat, abychom měli bezpečněji hesla v databázi a připojilo se co nejvíce lidí.

      Ne jen pár geeků odtržených od reality všedního dne.

      Vymazat
    4. (Jsem ten samý Unknown člověk co nahoře, nějak špatně se mi připojuje google účet do diskuze)

      Opravdu je nutné pořád diskutujícím nadávat do "geeků odtržených od reality"? :) Asi docházejí argumenty....

      Abych tedy mluvil k věci, oceňuju práci na jabber i na opravě téhle chyby i přístup k řešení.

      Co se týče uložení hesel v plaintextu na serveru, není to jen otázka "it" bezpečnosti, ale i otázka se spoustou společenských faktorů (což moc nejde dohromady s těmi geeky, že?). A mnohokrát ve svém okolí (tj ne že by jedna pani povídala) jsem viděl kdo všechno má reálně v malých i velkých firmách či startupech přístup do databází a tj v případě hesel v plaintextu i k heslům. (Zase Zdůrazňuju, že se nebavím primárně o "technické" bezpečnosti).

      Na druhou stranu, nejednalo se o tak dobře spravované služby jako Jabbim, kde to je určitě všechno v pořádku :)

      Vymazat
  17. Tento komentář byl odstraněn autorem.

    OdpovědětVymazat
  18. Thanks for sharing, nice post! Post really provice useful information!

    Giaonhan247 chuyên dịch vụ order hàng hàn quốc, vận chuyển ship hàng đức về Việt Nam, dịch vụ mua đồng hồ trên amazon vì sao nên mua đồng hồ trên amazon cũng như giải đáp có nên mua đồng hồ trên amazon, kinh nghiệm mua đồng hồ sale off trên amazon cũng như kinh nghiệm mua hàng trên amazon uy tín.

    OdpovědětVymazat
  19. If there is a leak, it is not good. Such a leak would be a disaster if you were writing a dissertation, because you would have to start all over again.

    OdpovědětVymazat
  20. Thanks for sharing, nice post! Post really provide useful information! I really enjoy this website.
    Divorce Lawyers Tysons VA
    Divorce Lawyers CulpeperVA
    Divorce Lawyers Northern

    OdpovědětVymazat
  21. Jabbim" encounters a security issue that raises concerns about user data safety. Amidst its functionality as an instant messaging platform, recent vulnerabilities have surfaced, posing potential risks to user privacy and information security. These security problems demand immediate attention and resolution to ensure the safety of personal data and communication channels within the platform. While Jabbim has been a popular choice for messaging services, addressing these security issues is crucial to maintain user trust and uphold robust security standards, which are pivotal in today's digital landscape.
    virginia personal injury statute of limitations
    motorcycle accident injury attorney

    OdpovědětVymazat
  22. It's a great post, thanks for sharing! It offers a lot of helpful information. I love this page.dui lawyer prince william county va

    OdpovědětVymazat
  23. Jabbim, a popular XMPP/Jabber client, has recently faced security concerns that warrant attention. Users have reported potential vulnerabilities related to the encryption and privacy features of the platform. Some have raised issues regarding the handling of sensitive information and the overall robustness of Jabbim's security protocols. While the platform has been a reliable choice for instant messaging, these security concerns underscore the importance of continuous vigilance and updates in the rapidly evolving landscape of online communication. It is recommended that users exercise caution and stay informed about the latest security patches and updates from Jabbim to mitigate potential risks and ensure a secure messaging environment.
    motorcycle accident lawyer near me
    contract dispute

    OdpovědětVymazat
  24. Desain cafe outdoor, rancang keberlanjutan keuangan dengan kreativitas! desain cafe outdoor

    OdpovědětVymazat
  25. Semoga kalian Semua kumpulan link download ebook pdf bahasa indonesia dan semuanya Temukan kumpulan link download ebook PDF dalam bahasa Indonesia di berbagai situs terpercaya untuk memperluas wawasan literatur Anda. kumpulan link download ebook pdf bahasa indonesia

    OdpovědětVymazat
  26. Jasa Hitung RAB:Bingung menghitung RAB pembangunan rumah? Serahkan pada ahlinya! Gunakan jasa hitung RAB terpercaya seperti [nama jasa hitung RAB]. Mereka akan membantu Anda menghitung RAB secara akurat dan terperinci. Hubungi mereka di [nomor telepon/email]. I really appreciate your knowledge and experience on this topic. jasa hitung rab

    OdpovědětVymazat
  27. Faktanya, desain rumah murah seringkali dapat mengoptimalkan ruang yang ada dengan cerdas. Anda menulis dengan gaya yang cerdas dan analitis. Saya suka cara Anda mengajukan pertanyaan dan argumen di artikel Anda. Jasa Desain Rumah dan Rab

    OdpovědětVymazat
  28. 5. Pemanfaatan cahaya alami dan ventilasi yang baik dapat mengurangi penggunaan lampu dan pendingin ruangan, sehingga menghemat biaya energi. Anda menulis dengan gaya yang cerdas dan analitis. Saya suka cara Anda mengajukan pertanyaan dan argumen di artikel Anda. Jasa Desain Rumah dan Rab

    OdpovědětVymazat
  29. "A Fun Journal for Thoughts That Don't Fit Into One Tweet" is the perfect companion for anyone looking to capture their fleeting ideas, musings, and creative bursts that exceed the constraints of social media. With its vibrant design and inviting layout, this journal encourages free-flowing expression and offers ample space for doodles, lists, and longer reflections. Each page is designed to inspire, with quirky prompts and playful illustrations that spark creativity and introspection. Ideal for writers, artists, and dreamers alike, this journal transforms the simple act of jotting down thoughts into a delightful and liberating experience, making it a must-have for anyone eager to explore their inner world beyond the 280-character limit.
    living trust lawyer charlottesville va
    will and trust lawyer charlottesville va

    OdpovědětVymazat
  30. Template resume gratis dari Canva benar-benar membantu saya mendapatkan wawancara kerja, coba sendiri dan rasakan perbedaannya! contoh cv lamaran kerja download format cv kosong word
    Menggunakan template resume gratis adalah cara cerdas untuk menampilkan keterampilan Anda tanpa harus mengeluarkan uang. download surat lamaran kerja dan cv doc

    OdpovědětVymazat
  31. Saya sangat puas dengan kualitas template resume ini. Bahan yang digunakan berkualitas tinggi dan hasil cetaknya terlihat tajam dan profesional. template surat lamaran kerja docx
    Template resume ini sangat mudah digunakan dan dipahami, bahkan bagi orang yang tidak memiliki pengalaman dalam membuat resume. contoh curriculum vitae dalam bahasa indonesia
    Tersedia panduan dan instruksi yang jelas dalam penggunaan template resume, sehingga saya tidak merasa kesulitan saat menggunakannya. template cv ats friendly indonesia gratis

    OdpovědětVymazat
  32. Saya menemukan bahwa menyesuaikan resume dan surat lamaran Anda untuk setiap pekerjaan membuat perbedaan besar. Ini mungkin tampak seperti pekerjaan ekstra, tetapi benar-benar menyederhanakan proses pencarian kerja. download template cv fresh graduate gratis indonesia
    Menghadiri job fair dan acara networking dapat secara signifikan meningkatkan peluang Anda untuk menemukan pekerjaan. Ini semua tentang mempromosikan diri Anda! download template cv simple gratis indonesia

    OdpovědětVymazat
  33. Kualitas penulisan Anda benar-benar menonjol. Artikel yang fantastis! gambar rumah dan rab
    Saya sangat menghargai kerja keras Anda dalam membuat artikel ini. Sangat informatif! membuat rab bangunan

    OdpovědětVymazat
  34. This article really helped me understand difficult concepts. Thank you! resume template mechanical engineer
    I really appreciate your effort in putting together this article. Very informative! resume template for civil engineer
    Every part of this article is very useful and relevant. Thank you for sharing. civil engineering resume template
    A very inspirational article that provides a lot of new insights. Thank you so much! electrical engineer resume template

    OdpovědětVymazat
  35. A superb article full of treasured statistics. thanks! resume examples for computer engineering students
    each paragraph is complete of new know-how. I found out loads from this newsletter. resume format computer hardware networking engineer

    OdpovědětVymazat
  36. Wanita karir yang cantik ini menunjukkan bahwa kecantikan dan kesuksesan bisa berjalan beriringan. wallpaper wanita muslimah berhijab
    Semoga semakin banyak wanita karir yang cantik dan berani mengejar impiannya. gambar wanita muslimah cantik berhijab dari belakang
    Kecantikan yang terpancar dari wanita karir ini membuat saya semakin termotivasi. gambar sketsa wanita berhijab dari samping

    OdpovědětVymazat
  37. RAB adalah peta menuju rumah impian. rab pembuatan gudang
    Contoh RAB banyak di internet, bisa jadi inspirasi. jasa pembuatan rab renovasi rumah

    OdpovědětVymazat
  38. Popular classic designs use spatial layouts that are functional and comfortable to live in. rab renovasi rumah
    Clear and proportional division of rooms ensures comfort and smooth running of activities at home. gambar rumah dan rab

    OdpovědětVymazat