Przechwycono dane tysięcy miłośników striptizu

Atak na sieć klubów ze striptizem przebiegł w tradycyjny już sposób z użyciem SQL injection, luki w zabezpieczeniach, polegającej na nieodpowiednim filtrowaniu i słabej typizacji danych przesyłanych w postaci zapytań SQL do bazy danych.

Na początku roku w podobny sposób przejęto też dane serwisu muzycznego RockYou. Wtedy przechwycono loginy i hasła 32 milionów (!) użytkowników. Tym razem, hasła w bazie Tuscl.net nie były nawet zaszyfrowane.

W drugiej połowie sierpnia podobny atak dotknął też polski serwis Filmweb. W sieci do dziś krąży 700 000 haseł fanów kinematografii. Początkowo także w tej sprawie mówiono o ataku SQL injection, jednak bardziej prawdopodobny jest sabotaż dokonany przez jednego z pracowników serwisu.

Niebezpiecznik.pl zwraca uwagę na listę najpopularniejszych haseł, które są bardzo podobne we wszystkich trzech zaatakowanych serwisach. Użytkownicy stosują najchętniej hasła pokroju 12345 i qwerty. Korzystają też z odniesień do wybranego serwisu (tutaj: stripper, stripclub, princess). Bardzo możliwe, że wiele ze skradzionych haseł jest też powiązanych z hasłami do skrzynek e-mail i kont bankowych.

Dobrze jest przemyśleć wybór haseł i uczestnictwo w niektórych społecznościach. O ile Filmweb próbował jakoś zabezpieczyć dane swoich klientów, baza klubów dla dorosłych wszystkie dane użytkowników podała hakerom jak na tacy.