Hackerul Badluck81 a gasit o bresa in sistemele de securitate ale serverului pe care doua mari companii de asigurari din Romania, tin date personale si documente ale zeci de mii de romani !
Asa cum promiteam cand am scris acest material http://www.urbaniulian.ro/2008/07/15/dezvaluiri-socante-hackerii-culeg-datele-personale-ale-romanilor-chiar-de-pe-serverele-companiilor-care-le-culeg-datele-la-semnarea-contractelor/ ,
am hotarat sa il sprijin pe hackerul [ sa imi ceara scuze ca-i spun asa insa nu stiu cum sa il denumesc intr-o forma mai populara ] , de fapt pe geniul in informatica Badluck81, in demersurile lui de semnalare catre autoritatile in drept, a breselor pe care le descopera in serverele marilor companii din Romania, care stocheaza date, documente si acte ale milioane de romani.
Intrucat aceste brese descoperite de Badluck81, pot fi gasite si de alti hackeri care pot sustrage aceste documente [ acte de proprietate, contracte cu semnaturi care se pot copia prin scanare, carti de identitate ] si cu care pot sa produca prejudicii imense, sa contracteze credite,etc.
Sincer eu personal inca ma mir de faptul ca Badluck81 a rezistat tentatiei de a nu copia aceste date in vederea comercializarii lor, si pentru faptul ca la varsta de doar 19 ani de zile, desi nu are bani, insa din cauza pasiunii pentru internet [ sta 20 de ore pe zi in fata PC-ului ] pe langa faptul ca a ajuns sa aiba niste abilitati extraordinare, a ales sa se situeze de partea binelui, daca pot sa spun asa, pentru ca efectiv, nu ma gandisem la faptul ca, este si asta pana la urma un fapt iesit din comun, si anume sa semnalezi aceste deficiente sau brese, in scopul remedierii lor. Sigur, este posibil asa cum spune si Badluck81 ca aceste brese care este posibil sa existe de foarte mult timp, sa fi fost deja exploatate de alti hackeri, dar niciodata nu este tarziu pentru a fi remediate, intrucat vorbim de siguranta a milioane de romani, de siguranta tranzactiilor iar locul lui Badluck81 cred ca ar fi pe un post de specialist al unei mari companii [ acolo unde insa nu este angajat pentru ca nu are masterate si diplome , adica documentele cu care domnii admini de servere care le lasa de izbeliste fara sa constientizeze importanta gestului lor ignorant, au acces in aceste posturi].
Revenind la cazul celor doua societati de asigurare din Romania cu care am inceput impreuna cu Badluck81 aceasta CAMPANIE DE LUPTA CONTRA FURTULUI DE IDENTITATE si pentru protejarea romanilor, numele acestora ca si datele de acces la serverele pe care se afla documentele si datele, au fost trimise catre DIICOT, asa cum puteti vedea mai jos. Badluck81, pentru a se proteja de consecintele unei legi aberante, care este atat de prost facute incat cei ca el care vor sa faca un bine, risca sa ajunga la inchisoare, a fost de acord sa fie reprezentat de un avocat din Baroul Bucuresti cu care noi colaboram, urmand ca pe aceasta filiera sa trimita procurorilor de la DIICOT bresele gasite, urmand ca acestia sa le semnaleze administratorilor de servere.
Am ocolit varianta de a le semnala direct acestor companii, pentru ca sa se evite ca Badluck81 sa fie acuzat de santaj, intrucat el pur si simplu nu cere nimic, nu vrea nimic [ poate recunoasterea meritelor sale ] si eu cred ca genii ale informaticii ca el, si cred ca sunt multi in Romania, ar trebui capacitati prin asemenea initiative si motivati sa lupte de partea binelui, astfel incat sa reusim macar noi sa formam ceea ce in USA entitati precum FBI-ul are deja, adica hackeri buni care lupta cu hackerii rai, si care in USA sunt platiti regeste, iar carora noi in Romania le putem oferi macar recunostinta noastra.
Asta pana ce vreo companie mare de informatica din afara nu se va interesa de ei, angajandu-i sa lucreze pentru ei , caz in care am ramane iar la mana manipularii si furtului de identitate. Pe aceasta cale, revin la ideea mea si anume la faptul ca NU atacurile phishing sunt sursa de culegere a informatiilor si datelor personale ale romanilor, si eu cred ca majoritatea acestor atacuri sunt de fapt menite sa abata atentia oamenilor dar si a autoritatilor de la adevaratele surse prin care se scurg catre entitati private constituite in scop infractional datele !
Va redau mai jos mesajul trimis la DIICOT si astept sa imi scrieti comentariile si sugestiile dvs. pe aceasta tema la adresa iulian.urban@gmail.com
---------- Forwarded message ----------
From: Iulian Urban <iulian.urban@gmail.com >
Date: Jul 16, 2008 3:36 PM
Subject: bresa in serverele xxxxxxxx si xxxxxxxxxxxxx
To: DIICOT <crimaorg@politiaromana.ro >
Catre DIICOT
d-lui Procuror C.O.
Stimate domn
Sunt de ceva vreme in legatura cu un tanar a carui identitate reala nu o cunosc , cu care am contactat doar pe internet, care se numeste Badluck81, si care imi trimite mesaje prin care imi atrage atentia asupra faptului ca exista servere ale unor companii, asa cum este xxxxxxxx SI xxxxxxxxxxxxx pe care ruleaza date personale si documente ale romanilor, si care prezinta brese de securitate, prin care se poate patrunde de catre infractori , si extrage aceste date astfel incat sa fie folosite in scopul de obtinere a unor castiguri ilicite.
Badluck81, vrea sa indice catre DIICOT aceste erori, pentru ca la randul dvs. sa le semnalati companiilor in cauza, pentru a remedia erorile semnalate, intrucat posibilitatea de a se ajunge la FURT DE IDENTITATE este o problema nationala.
Vreau sa specific faptul ca initiativa lui Badluck81 mi se pare una extraordinara, si cred ca institutia dvs. ar trebui sa foloseasca serviciile acestor tineri in loc sa-i marginalizeze.
Badluck81 este conform propriei declaratii, in varsta de 19 ani de zile, si apelat la avocatii colaboratori ai Urban si Asociatii pentru ca se teme, ca prin intentia lui de a ajuta la rezolvarea acestor probleme, sa nu suporte consecinte de natura penala, in conditiile in care el este PRIMUL HACKER care a ales sa isi foloseasca abilitati si calitatile exceptionale in interesul comunitatii si societatii civile romanesti.Badluck81 a ales sa va trimita dvs. la DIICOT aceste informatii si nu direct administratorilor sau proprietarilor de servere aceste informatii, tocmai pentru ca nu vrea bani, nu vrea foloase, nu vrea sa fie acuzat de santaj, ci pur si simplu vrea sa ajute ! Si cred ca merita cel putin laudele dvs. daca se va adeveri ca aceste brese exista, dupa ce le vor verifica specialistii dvs.
Va rog sa cititi si acest material
http://www.urbaniulian.ro/2008/07/15/dezvaluiri-socante-hackerii-culeg-datele-personale-ale-romanilor-chiar-de-pe-serverele-companiilor-care-le-culeg-datele-la-semnarea-contractelor/
Astept raspunsul dvs.
Cu stima
Urban Iulian
On 7/15/08, badluck81 wrote:
DOAMNEEE, deci, acum stau si ma uit in baza de date mysql la xxxxxxxxx si xxxxxxxxxxxx!
si ce crezi tu ca gasesc eu ?! in baza xxxxxxxxxxxx, 17164 rows in set (7.75 sec) de adrese de email, cu toate datele lor personale
---------- Forwarded message ----------
From: badluck81
Date: Jul 16, 2008 1:10 PM
Subject: Re: salut
To: Iulian Urban <iulian.urban@gmail.com >
/ xx.xxx.xxx.xx |
FTP ---- xx.xxx.xxx.xx |
\ xx.xxx.xx.xxx |
----------------------------------------|
user compania de asigurari 1 |
parola xxxxxxxx |
----------------------------------------|
user compania de asigurari 2 |
parola xxxxxxxx |
----------------------------------------|
On 7/16/08, badluck81 wrote:
tin sa precizez, datele de access in serverele firmei care gazduieste informatiile si documentele (compania de asigurari 1 si compania de asigurari 2) sunt doar cireasa de pe tort, bugul prin care am obtinut datele de access, e mult mult mai periculos :) daca imi dai adresa de email al unui criminalist informatician (care sa aibe habar cu ce se mananca internetul), sunt dispus sa il dau sa se minuneze si el un pic de acest haos!
foto:cyberpunkreview.com
Reclamati abuzurile la adresa office@asistentapentruconsumatori.ro sau la adresa Senatorului : iulian.urban@gmail.com
Redirectioneaza 2% pentru Asociatia www.asistentapentruconsumatori.ro
badluck said
am July 16 2008 @ 4:54 pm
cand am spus 17164 (+1220) de emaile cu tot cu datele personale, m-am referit numai la persoanele care au completat in formulare adresa de email (IS NOT NULL), iar la date personale … ~700.000 nume, prenume , adresa, serie numar buletin, cnp, angajator, cui, etc (si asta e doar sql!)
ops, am dat prea multe detalii ?
Urban Viorel » Hackerul Badluck81 a gasit o bresa in sistemele de securitate ale serverului pe care doua mari companii de asigurari din Romania, tin date personale si documente ale zeci de mii de romani ! said
am July 16 2008 @ 6:47 pm
[...] http://www.urbaniulian.ro/2008/07/16/hackerul-badluck81-a-gasit-o-bresa-in-sistemele-de-securitate-a... Afisari: 0 « Cardul de salariu de la Raiffeisen a distrus vacanta unui bucurestean [...]
ion iliescu said
am July 16 2008 @ 7:15 pm
Desigur ca http://www.urbaniulian.ro stie ca sunt si multi meseriasi in a deschide safe-urilor, usilor, ferestrelor, cardurilor, conturilor .
Toti cei interesati in dezvoltarea abilitatilor lor manufacuriere sunt rugati sa contacteze societatea.
Iulian Urban said
am July 17 2008 @ 10:59 am
Au trecut 24 de ore de la sesizarea trimisa la DIICOT si nu am primit nici un raspuns de la aceasta institutie
Stanciu said
am July 17 2008 @ 1:58 pm
Nu stiu daca DIICOT este institutia care trebuia sesizata. Mai curand Autoritatea Na?ionala de Supraveghere a Prelucr?rii Datelor cu Caracter Personal (ANSPDCP).
Bogdan said
am July 18 2008 @ 10:51 am
———- Forwarded message ———-
From: Iulian Urban
Date: Jul 18, 2008 10:50 AM
Subject: Re: [Fwd: Notificare - Raiffeisen Bank Verificare Securizata]
To: Bogdan B.
Nu face nimic nimeni.
Desi am semnalat la DIICOT de doua zile o bresa in serverele a doua companii mari de asigurari din Romania, de unde se pot extrage documente si date personale ale romanilor [ contracte, carti de identitate] nu face nimeni absolut nimic.
Altfel nu se explica aceste atacuri si lipsa de reactie a bancii si a Politiei
Urban I. Iulian
On 7/18/08, Bogdan B. wrote:
buna ziua.
tipii de la raiffeisen chiar trebuie sa ia masuri…ii sparg astia cu atacurile lor de pishing.
Prin aceasta notificare va informam ca in data de 17-iunie-2008 am detectat unele erori in baza noastra de date referitoare la accesul online al contului dumneavoastra Raiffeisen Bank. Datorita acestor erori din baza noastra de date va rugam sa verificati validitatea accesului dumneavoastra la contul dumneavoastra Raiffeisen Bank Online.
Va rugam descarcati fisierul atasat acestui e-mail pentru verificarea securizata a contului dumneavoastra online.
——————————
© Raiffeisen Bank 2007
Ionut Ana said
am July 19 2008 @ 8:44 am
Nu inteleg de ce-l sprijiniti, ce face el e ilegal. Credeti ca este ok sa ma apuc sa va scanez ip-urile sa gasesc buguri/exploituri? Si conturile alea de ftp au parole, de unde stiti ca nu le-a hackuit el serverele? Sa ma apuc si eu sa scanez ip-urile de la NASA doar ca sa le scot ochii cand gasesc un bug/exploit?
Viorel Urban said
am July 19 2008 @ 1:11 pm
@Ionut Ana
Iti dai seama cat spam se poate face si cum se pot trimite diferite mesaje de tip spam catre 20.000 adrese de mail sau mai multe ? Ce face el zici ca e ilegal ? Pai tot ce face este sa arate aceste grave brese, sa arate in ce hal sunt “protejati” cei care au site-uri , date personale si mailuri pe acele servere ..deci unde e ilegalitatea ? Cred ca acum se vede cum se poate manipula trimiterea de mailuri si cum se poate face spam si apoi da vina pe x sau y !! Ce bine ca exista acest hacker bun si ce bine ca a inceput aceasta campanie ! Si eu il sprijin si il admir pentru aceste actiuni deoarece sunt singurele de acest gen din Romania asta unde se dau amenzi la misto, se face phishing la greu si nimeni nu ia atitudine , datele personale a milioane de oameni sunt “la liber” si lista poate continua. BRAVO BADLUCK !
badluck said
am July 20 2008 @ 6:45 pm
Ionut Ana, pai eu le-am “hackuit” serverele, iar daca eu pot, inseamna ca nu sunt securizate, iar daca serverul nu e securizat inseamna ca si altii pot intra in el. Diferenta dintre mine si altii cred ca poti sa o deduci singur.
badluck said
am July 21 2008 @ 5:14 pm
Problema rezolvata!
Ionut Ana said
am July 27 2008 @ 5:55 pm
@Viorel Urban
Si eu pot sa hackuiesc servere, nu e chiar asa de greu. Nu fac asta pt. ca e ilegal. Atat timp cat nu are dreptul de a verifica/scana ip-urile lor este ILEGAL. Nu are importanta ca-i informeaza de hackuiala, nu e treaba lui sa le scaneze ip-urile, sa le acceseze serverele, sa le descarce baza de date si sa se uite in ele.
Un hacker de calitate gaseste bug-urile/exploiturile in software si le raporteaza celor care le fac.
Un cracker (badluck) e unul care citeste exploiturile hackerilor si foloseste aceleasi metode de a sparge serverele.
Un script kiddie (badluck?) foloseste uneltele facute de hackeri/crackeri.
badluck face mai mult decat sa gaseasca gaurile, el le acceseaza si asta este ilegal. Daca-mi las usa deschida la casa asta nu inseamna ca oricine are dreptul sa intre in ea si sa se uite la televzizor!
Ionut Ana
~ net.ro
VIOREL URBAN said
am July 27 2008 @ 6:06 pm
Ionut Ana tu vad ca o tii pe a ta si nu vrei sa iei in calcul ca astfel sunt n posibilitati sa inscenezi unei firme ca trimite spam sau face alte lucruri. Din pacate pentru multi care au ceva cu badluck el a facut aceste lucruri publice , nu a cerut bani si a ajutat pe marii admini de la acele servere – care incaseaza o caruta de bani insa sunt incompetenti si daca vor dovada UITE DOVADA CA NU MAI E LOC DE CATI SPECIALISTI AVEM – sa rezolve problemele. Putini si-au recunoscut greseala sau au spus multumesc , asta pentru ca orgoliul prostesc si grandomania sunt grave si celebre boli ale omului . Nu vorbeste nimeni cum se poate lasa asemenea brese in serverele unor companii mari , insa in schimb ne luam de cei care raporteaza aceste brese. Ahh , deranjeaza ca se face public acest lucru ? Asta e alta si interesanta problema , mai ales ca stim cu totii ce reclame pline de laude si profesionalism flutura unii si altii, prostind o multime de lume.
tu ziceai – Un hacker de calitate gaseste bug-urile/exploiturile in software si le raporteaza celor care le fac. – ASTA A SI FACUT BADLUCK DACA NU AI FOST ATENT !
Daca vrei sa faci ceva pentru oameni sa le fie bine incearca sa faci astfel de actiuni dezinteresate si nu sa ataci oamenii sau sa te iei dupa parerile unora a caror interese au fost afectate si cauta sa se razbune prin actiuni stupide sau sa defaimeze. Oamenii deja incep sa inteleaga aceste lucruri si de asemenea inteleg ce diferenta uriasa este intre ce se spune prin reclame , tv, oferte SI VARZA GENERALA CARE EXISTA IN PRESTAREA ACESTOR SERVICII SI IN GRIJA FATA DE CLIENTI…
Inca o data bravo BADLUCK!
Ionut Ana said
am July 27 2008 @ 6:32 pm
Se pare ca nu intelegi ca ce face el e mult mai mult decat a gasi si de a raporta gaurile in servere, el le acceseaza, se joaca pe ele, descarca baza de date… aceste lucuri sunt ilegale, nu e Dumnezeu si nu are dreptul sa faca asta.
Si cand vorbeam de hackeri buni, ma refeream la cei care raporteaza exploit-urile celor care fac software-ul. Recent s-a gasit o vulnerabilitat in bind, cel care a gasit-o nu a inceput sa exploateze serverele, a raportat problemea la ISC/CERT.
Voi nu aveti de unde sa stiti ce face badluck cu datele de baze, de unde stiti voi ca nu le vinde? de unde stiti ca nu le foloseste intr-un mod ilegal? El nu e controlat de nimeni, e posibil sa faca orice.
O institutie guvernamentala poate sa faca un departament special pt. asta si sa aiba dreptul de a scana ip-urile din Romania. Daca badluck o sa lucreze pt. ei, doar atunci o sa aiba voie se scaneze ip-urile!
VIOREL URBAN said
am July 27 2008 @ 8:03 pm
si de unde stim ca tu nu accesezi servere sau altii si nu folosesti aceste informatii? sau poate ca asa se procedeaza cand vrei sa dai in cineva si te legi de spam in timp ce altii (exemplu clar capital.ro si RINGIER) fac spam – trimit mesaje comerciale nesolicitate – INSA DE EI NU ZICE DECAT PUTINA LUME SI NU SE FACE ATAT TAM-TAM. BA CHIAR PENTRU INFORMAREA UNORA EI NICI MACAR NU AU FOST AMENDATI DECI VREI SA VORBIM DESPRE ILEGALITATI SI ALTE LUCRURI DE ACEST GEN? daca folosea datele badluck nu cred ca zicea apoi ca el le foloseste si in afara de asta multi oameni ar fi avut MARI probleme si Politia sau altii nu stiu cum ar fi putut da oamenilor banii inapoi ! De filozofii si argumente complexe toti suntem buni insa cand avem un om care e pe bun pe domeniul lui si face aceste lucruri cunoscute publicului vin unii sa zica ca NU E BINE CE FACE ! Foarte bine a facut badluck si asa ar trebui sa faca si altii care cu adevarat vor sa fie “bine” in net-ul romanesc, altfel sunt doar interese penibile si lacomie de bani .Si in afara de asta badluck poate face orice vrea el , nu sunt altii in stare sa-i zica ce sa faca si ce nu si ASTA SA FIE CLAR !
Ionut Ana said
am July 28 2008 @ 5:02 am
Poate face ce vrea? Legea e de alta parere. Voi sunteti de acord ca oricine are dreptul sa scaneze ip-urile si sa faca ce vor pe ele atat timp cat le raporteaza? Geez
Ionut Ana said
am July 28 2008 @ 5:16 am
acord = parere
badluck said
am July 28 2008 @ 12:43 pm
@Ionut Ana
) si stii are a fost reactia lor ? bun, acum ca ai facut-o, fa un articol sa avertizam lumea.
1. eu zic sa iti incui zdravan usa … traim in romania
2. “el le acceseaza, se joaca pe ele, descarca baza de date” – de ce am impresia ca te-am facut recent de cacao ?
3. Recent s-a gasit o vulnerabilitat in bind, cel care a gasit-o nu a inceput sa exploateze serverele, a raportat problemea la ISC/CERT. – afla ca eu am contibuit la crearea celor 65k de hash-uri de la openssh (stii tu … alea de la debian/suse) si stii ce am facut primu lucru ? am crapat mentors.debian.net