Wymagane działanie dla zarejestrowanych użytkowników serwisu PurePC. Zmień hasło, czuj się bezpiecznie i bierz udział w konkursie

Drodzy Użytkownicy, dzisiaj po godzinie 13:00 dostaliśmy informację, że w Dark Net pojawiła się nasza baza użytkowników wraz z loginami, mailami oraz hasłami. Spokojnie, to połowa prawdy, Wasze dane są bezpieczne. Ruszyła jednak machina cyberbezpieczeństwa. Zapytaliśmy kilka służb w Polsce oraz zagranicę, a bardziej to oni od razu do nas zadzwonili, o podejrzeniu wycieku danych. W pierwszej kolejności pojawił się CSIRT KNF - Komisja Nadzoru Finansowego, później CERT NASK, a dalej już kolejna lawina specjalistów, którzy szybko wykryli i namierzyli problem. Przyznam, nie wiedziałem, że tacy świetni i życzliwi ludzie pracują w instytucjach, i pilnują naszego bezpieczeństwa w sieci. Zapewne już otrzymaliście maile z naszego systemu, że wszystkie konta, bez wyjątku na forum zostały wyłączone do czasu zmiany hasła i ponownego logowania do forum.purepc.pl. Za chwilę, po emisji tej wiadomości, na Waszych skrzynkach mailowych pojawi się prośba o zmianę hasła do konta w PurePC.pl.

Kolejny już raz w ciągu 16 lat doświadczyliśmy poważnego ataku na nasze serwery. Tym razem nie była to premiera nowych produktów AMD, NVIDIA czy Intel, a próba włamania i wykradzenia haseł użytkowników, niestety po części z sukcesem. Prosimy o zmianę hasła do Waszych kont w celu bezpieczeństwa. My już Was zabezpieczyliśmy, ważne byście zrobili to samo.

Krótko i zwięźle postaram się opisać problem jaki wystąpił, i w sumie przez 4 lata był zagrzebany. W 2018 roku robiliśmy ponowną integrację naszego forum zbudowanego na systemie IPB - Invision Power Board z mocno zmienionym przez nas system publikacji treści Drupal CMS. Nie, tu nie ma prostych rozwiązań. Podłącz jedno, do drugiego i będzie działać. Nie, nie nigdy nie działa. By zintegrować bazy ponad 4xx.xxx użytkowników (wartości nie możemy jawnie podawać) musieliśmy wygenerować pliki / hash / sol by logując się kontem z Forum.PurePC.pl (było ono pierwsze nim powstał serwis PurePC.pl dnia 6 czerwca 2006 r.) można było się zalogować również na portalu PurePC.pl. Dlaczego? Prozaiczne, by nie odpytywać bazy za każdym razem czy taki użytkownik jest i hasło jest poprawne. Mamy w serwisie podzielone bazy na różne serwery i dostępy wybranych grup osób. Jeden rack HP Blade miał z tym problem, 8 lat temu. Żadne dane wrażliwe w rozumieniu RODO nie są przechowywane w bazach zewnętrznych (patrz Internet). Bierzecie udział w jednej z naszych zabaw, zawsze dane trafiają do naszego serwera wewnętrznego, który ma okienka tzw. pogodowe. Tymczasowo ma dostęp do bazy, odłącza się. Robimy wysyłki i po 14 dniach migawka z serwera znika. Jakbyście mnie spytali imię i nazwisko osoby, której wysłałem załóżmy miesiąc temu nagrodę - nie wiem, śladu nie ma.

Jednak do celu. Kto za tym stoi? Po tym co przekazał nam CSIRT i CERT - jakiś dobry haker, a dokładnie grupa rosyjska. Wiemy, że wyciągnęli z naszego serwera backupowego OVH z Francji, część bazy hurtowo. Co było, to pobrali. Baza specjalnie zapisuje się w kawałkach z różnym kodem / serwerem by całej nie dało się rozkodować. Padło ofiarą, tak zakładamy, 1/8 haseł w PurePC do 2019 r. Udało im się złamać tylko jeden plik w okolicy 72.000 rekordów z czego spora część to konta-boty, dawno temu zablokowane. Baza wędrowała, jak dzisiaj się dowiedzieliśmy, od początku roku. Dzisiaj poszła już jawnie do sieci dla specjalistów. Prosimy uprzejmie byście zmienili hasła do swoich kont jeśli je założyliście przed 2019 r. Jeśli nawet później, zmieńcie i tak, od dziś mamy super zaprzyjaźnionych specjalistów, którzy nam podpowiedzieli jak lepiej zabezpieczyć bazy, co zmienić, co wyrzucić z serwerów / zmodyfikować. Jakbyście się dziwili, czemu serwery dzisiaj po 14 dostawały lekkiej zadyszki. Macie jasną odpowiedź. Oby więcej tak świetnych i wyspecjalizowanych ludzi w Polsce. Poniżej przekazuję podstawowe informacje co należy zrobić, by zachować swoje konto i bezpieczeństwo w sieci. Przypominam, my danych wrażliwych użytkowników nie gromadzimy i nie przechowujemy w sieci zewnętrznej.

16 urodziny PurePC - Konkurs z nagrodami, test niespodzianka, system reputacji i zamiany w redakcji

Problem powstał przy starszych kontach, które mogły, ale nie musiały zostać podane cyberatakowi. Po sprawdzeniu bazy dostępnej na Dark Net ustaliliśmy, że sporo kont nie pokrywa się z hasłem, a w szczególności mailem, który może być już wyłączony. Chcesz zmienić hasło po tym możliwym ataku na Twoje konto lub po prostu nie pamiętasz hasła, skorzystaj z formularza odzyskiwania hasła. Takiego maila powinniście dostać z powiadomienia@purepc.pl:
---------------------------------
Informacje dotyczące hasła dla konta XYZ w witrynie PurePC.pl

Otrzymaliśmy prośbę o wyczyszczenie hasła do konta XYZ w witrynie
PurePC.pl.
Zanim użyjesz linku, upewnij się, że podczas logowania w polu LOGIN
podajesz NAZWĘ UŻYTKOWNIKA. Adres email i login to nie to samo (o ile nie
podałeś inaczej).
By zalogować się do www.purepc.pl należy odwiedzić poniższą stronę.
https://www.purepc.pl/user/reset/user_id/kod
Logowanie z użyciem powyższych danych można przeprowadzić tylko raz, a
ich ważność upłynie po jednym dniu. Jeśli nie zostaną wykorzystane, nic
się nie wydarzy.
---------------------------------

© Airplane II - Paramount Pictures 1982

Informacja administracji Forum PurePC.pl:
Otrzymaliśmy 17 czerwca 2022, około godziny 14:00, informację o wycieku następujących informacji z bazy danych:
- login (nick)
- e-mail
- hasło zapisane w postacie funkcji skrótu (tzw. hash z solą)
Które były podane w systemie forum.purepc.pl i / lub portalu www.purepc.pl.

Co się stało? (opis charakteru naruszenia)
Wg. ustaleń wyciekowi uległ stan na 22 maja 2018 roku a 20 czerwca 2019* część haseł, które były łatwe do złamania (proste hasła zapisane przed migracją oprogramowania forum IPB w 2017 na nowszą wersję, która zapewniała mocniejsze haszowanie) zostało opublikowane na wyspecjalizowanych stronach internetowych.

*Oznacza to, że w przypadku kont zarejestrowanych po 22 maja 2018 wskazane dane nie zostały upublicznione, a w przypadku zmiany hasła po tej dacie skrót dotyczył poprzedniego hasła.

Jakie są możliwe konsekwencje naruszenia ochrony danych osobowych? 
Incydenty mogą skutkować wskazanymi niżej konsekwencjami, jednakże z uwagi na przebieg zdarzeń i zakres udostępnionych danych jest wąski, uważamy, że ryzyko poniższych konsekwencji jest bardzo niskie:
- na adres e-mail mogą być wysyłane wiadomości w celach marketingowych bez uprzednio wyrażonej zgody (SPAM)
- próby logowania (dostępu) do kont w serwisach internetowych, z wykorzystaniem tej samej pary loginu lub e-mail i hasła

W celu zminimalizowania ewentualnych negatywnych skutków zdarzenia warto rozważyć:
- zmianę hasła do kont w serwisach internetowych, w których loginem był adres e-mail podany na forum.purepc.pl, a hasło było takie samo jak do konta na forum oraz korzystanie z unikalnych haseł do każdego serwisu,
- nie klikanie w linki lub załączniki w wiadomościach przychodzących na adres e-mail podany na forum od nieznanych nadawców, w szczególności wykorzystujących logo PurePC.pl
- zachowanie ostrożności przy podawaniu swoich danych innym osobom lub podmiotom, zwłaszcza za pośrednictwem Internetu,
- skonfigurować w serwisie PurePC.pl oraz innych tzw. uwierzytelnianie dwuskładnikowe (Ustawienia -> Bezpieczeństwo konta).

Podjęte działania:
W ramach serwisu wszystkie hasła zostały automatycznie unieważnione i dalszy dostęp do konta wymaga jego zmiany za pomocą linku z wiadomości z adresu forum_wysylka@purepc.pl o tytule "Wymagany jest reset hasła" lub samodzielnym wyborze opcji "Nie pamiętasz hasła?" na ekranie logowania. Nowo utworzone hasła będą domyślnie zapisywane z użyciem nowszych, zdecydowanie bezpieczniejszych funkcji skrótu (zakodowanego ciągu znaków i liczb).

Kontakt:
W razie wątpliwości bądź pytań prosimy o kontakt pod adresem e-mail: purepc@purepc.pl. Jeśli nie możesz się zalogować, wybierz 'Nie pamiętasz hasła'. W razie poważnych problemów, jesteśmy do Waszej dyspozycji.