Χάκεψαν το tutsplus.com του Envato!

Προβληματισμοί και ανταλλαγή ιδεών από την Επικαιρότητα και διάφορα άλλα θέματα.

Συντονιστής: Super-Moderators

Απάντηση
kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 26 Ιουν 2012 18:07

Γεια σας,

Σήμερα έλαβα ένα E-mail από τον Collis Ta’eed, τον CEO του Envato. To Envato είναι επιχείρηση εκατομμυρίων και πουλάνε διάφορα script, εικόνες από διαφόρων ειδών marketplaces. Σήμερα έγινε μια επίθεση και όπως φαίνεται οι attackers κατάφεραν και πήραν την πλήρη λίστα με τα email και τους κωδικούς πρόσβασης των μελών.

Οι κωδικοί δεν ήταν κρυπτογραφημένοι! Το εξωργιστικό αυτό γεγονός έχει προκαλέσει πάρα πολύ έντονα την αντίδραση όλων των πελατών του Envato και πιο συγκεκριμένα των μελών του tutsplus που τώρα πρέπει να αλλάξουν όλους τους κωδικούς τους.

Στο Internet έχουμε την συνήθεια να χρησιμοποιούμε κάποιον κωδικό που απομνημονεύουμε παραπάνω από μία φορά με αποτέλεσμα αν υπάρχει ρήγμα ασφαλείας κάπου ο κωδικός μας να είναι σε λάθος χέρια.

Από το Envato λένε ότι τώρα στόχος των attackers είναι οι λογαριασμοί PayPal, MoneyBrookers και άλλα payment services αλλά και το E-mail account.

Πιστεύω ότι είναι γελείο αυτή η κατάσταση να μην έχουν salted και encrypted τους κωδικούς πρόσβασης των μελών.

Ορίστε το original email:
Dear George,

I'm Collis Ta’eed, CEO of Envato. We run Tuts+ Premium (tutsplus.com). I am writing to you with urgent and important information about a security breach on the Tuts+ Premium service. You are receiving this email because at some point in our history you have signed up an account with Tuts+ Premium with the username: ggirtsou.

Today we learned that our server was compromised, and sensitive data including email addresses and passwords were accessed before we were able to detect and stop the unauthorized intrusion. We have taken immediate measures to take Tuts+ Premium offline and to secure the servers and systems. However because passwords and details have been compromised, you should take immediate action as follows:

-- Why You Are Getting this Email

If you have ever signed up to Tuts+ Premium, even if you didn't follow through with a payment, or your account expired, then your username/password/details were in our database. We are emailing all users to notify them. We apologise for having to send a mass email, but it's very important that all users are made aware of the situation to contain any further repercussions.

-- What To Do

(1) Update passwords on ANY service you use that uses the same password as you had on Tuts+ Premium.

(2) In particular you should consider your own email account, PayPal, Moneybookers, and other payment services. These are the most sensitive targets, and if you had the same password, you should consider this an urgent priority. If you can’t remember what your Tuts+ Premium password was, we encourage you to change passwords on all services you use.

(3) If you use the same password on any other Envato service such as the Envato Marketplaces, you should change your password there too.

-- Where to Go For More Information

We have a post on our Envato Notes blog explaining in detail the situation, what has been compromised, what you should do, and giving answers to questions you may have. Go to the main tutsplus.com domain and follow the link to Envato Notes to read more. Alternatively you can jump straight to the blog post by following this link:
http://notes.envato.com/general/tuts-premium-security/

-- When Tuts+ Premium Comes Back Online

We are urgently working towards bringing the service back online and anticipate it should happen within 48 hours. We apologise for the inconvenience of Tuts+ Premium being offline during this time. When the site is back online, your password on the system will have been reset to a randomised string and you will need to update to a new password. Instructions will be posted on the site at the sign in point.

-- We're Extremely Sorry

We are deeply sorry this has happened, and are working hard to address the situation as best we can. We have published a full report on the Notes blog as mentioned above, and will update it further as more information comes to light.

If you have any questions, concerns or account-related requests, please don't hesitate to contact Envato Support: http://support.envato.com

Regards,

Collis Ta'eed
Envato CEO
Tuts+ Premium

==============================================
This is a one-off security related email sent to users of Envato Tuts+ Premium (tutsplus.com) who have previously created a username and password in our registration system . You have not been subscribed to an email list.



You will only be on the Tuts+ Premium general email newsletter list if you have opted-in via the account settings on the Tuts+ Premium site.

Our mailing address is:
ENVATO
PO Box 21177
Little Lonsdale Street, Victoria 8011

Our telephone:
+61 (0) 3 8376 6284

Άβαταρ μέλους
korgr
Honorary Member
Δημοσιεύσεις: 5067
Εγγραφή: 07 Οκτ 2008 18:30
Τοποθεσία: Corinth
Επικοινωνία:

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από korgr » 26 Ιουν 2012 20:11

Το πιο τραγικό είναι να δίνεις σε δικτυακές υπηρεσίες, passwords που χρησιμοποιείς σε πολύ σοβαρές καταστάσεις (paypal accounts, bank accounts, FTP, Mail, Server Admin κλπ)

Έτσι το πολύ πολύ να σου χακέψουν κανένα facebook, forum account και άλλα "χέστηκε η φοράδα στο αλώνι accounts" :p

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 26 Ιουν 2012 20:13

Εμένα αυτό που με ενόχλησε πραγματικά ήταν το plain text. Πώς μπορεί να το έκαναν αυτό το επικό λάθος! Και λέει ότι το ήξεραν κιόλας και απλά είχαν προγραμματίσει να το διορθώσουν...

Άβαταρ μέλους
panxer
Δημοσιεύσεις: 113
Εγγραφή: 26 Ιουν 2011 20:29
Τοποθεσία: Athens, Greece
Επικοινωνία:

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από panxer » 26 Ιουν 2012 20:57

Δεν ήταν λάθος, κακόβουλη πρακτική είναι.

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από fafos » 26 Ιουν 2012 21:16

Den einai h proth makakia ths enlogo etaireias.. prin xronia edinan kati tuts me kati trypes megalyteres kai apo tou ozontos eno akomh egkrinoun scipts me periergo kodika..
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

Άβαταρ μέλους
Punkis
Δημοσιεύσεις: 260
Εγγραφή: 27 Αύγ 2009 22:45

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από Punkis » 26 Ιουν 2012 22:10

envato kai m***kies
Only Green Day can successfully write a song about masturbation.

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27617
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από cordis » 26 Ιουν 2012 22:15

χαλάει το performance το md5...
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 27 Ιουν 2012 06:32

Μιας και λέμε για μλκες του envato είδα ότι έκαναν approve ένα πολύ προσβλητικό item προς την Ελλάδα και έκανα formal complaint για να το κατεβάσουν.

Το Ιtem είναι μια σημαία της Ελλάδας και έχει από πάνω ένα label που γράφει "sold".

Μου απάντησαν:
Thanks for your inquiry. I'm very sorry that you find this item offensive. I have forwarded your ticket to the necessary staff member in order to review the item again and take the necessary action.
Ήθελα να 'ξερα δε ντρέπονται καθόλου;
Συνημμένα
greece%20flag%20for%20sale%20with%20clipping%20path[1].jpg
Envato Item #2003923 by donskarpo
greece%20for%20sale%20with%20clipping%20paths[1].jpg
Envato Item #1687961 by donskarpo

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 27 Ιουν 2012 06:37

Βλέποντας τέτοιες ενέργειες και τέτοια προσβλητικά items με κάνει να σκέφτομαι πολύ σοβαρά να σβήσω τα δικά μου items από το CodeCanyon και να τα πουλάω μόνος μου από το site μου.

Εξάλλου άλλο είναι να παίρνεις 6 ευρώ και άλλο 15 ευρώ κάθε φορά που γίνεται μια πώληση και να τα έχεις διαθέσιμα στο PayPal account σου και να μην περιμένεις μέχρι τις 15 του επόμενου μήνα για να πληρωθείς.

Προμήθεια το Envato, προμήθεια η PayPal, προμήθεια η Τράπεζα... ε... και τι μένει;

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 27 Ιουν 2012 06:59

UPDATE:
Hello George,

The images have been removed. You will see the change on the marketplace shortly.

Regards,

Jess
PhotoDune Review Assistant

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από Rapid-eraser » 27 Ιουν 2012 11:18

cordis έγραψε:χαλάει το performance το md5...
md5 - sha1 και 2-3 ακόμα hash functions έχουν σπάσει εδώ και 4-5 χρόνια :P
Και είναι το ίδιο ασφαλής με το να το έχεις με plain text !!! χααχχαχα

Νομίζω αυτό που επισήμανε ο korgr είναι το πιο σημαντικό...
Αν είναι δυνατών να χρησιμοποιείς ίδιο password σε πάνω από ένα service !!!
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
Rapid-eraser
WebDev Moderator
Δημοσιεύσεις: 6851
Εγγραφή: 05 Απρ 2003 17:50
Τοποθεσία: Πειραιάς
Επικοινωνία:

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από Rapid-eraser » 27 Ιουν 2012 12:27

understanding-hash-functions-and-keeping-passwords-safe

ΑΧΑΧΧΑΧΑ μόλις έκανα post στο tutsplus.com το παραπάνω άρθρο :P

PS: Jun 26th 2012 έγινε post τελικά , απλά σήμερα το ξέθαψαν :P
Cu, Rapid-eraser, Tα αγαθά copies κτώνται.
Love is like oxygen, You get too much you get too high
Not enough and you're gonna die, Love gets you high

Άβαταρ μέλους
fafos
Script Master
Δημοσιεύσεις: 6230
Εγγραφή: 30 Νοέμ 2004 03:09

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από fafos » 27 Ιουν 2012 13:18

ggirtsou έγραψε: Εξάλλου άλλο είναι να παίρνεις 6 ευρώ και άλλο 15 ευρώ κάθε φορά που γίνεται μια πώληση και να τα έχεις διαθέσιμα στο PayPal account σου και να μην περιμένεις μέχρι τις 15 του επόμενου μήνα για να πληρωθείς.

Προμήθεια το Envato, προμήθεια η PayPal, προμήθεια η Τράπεζα... ε... και τι μένει;
einai pagkosmios gnosto oti auth h yphresia einai gia tritokosmikes xores opos India, Mpagklantes klp opou ta 5-6$ einai pano apo to hmeromisthio.. Oi authors mh tritokosmikon xoron anevazoun pragmata ta opoia exoun ftiaxei gia allous pelates tous kai oti piasoun kai merikoi apo autous euelpistoun se douleies pou mporei na arpaxoun...
Οι πάνες και οι πολιτικοί πρέπει να αλλάζονται συχνά για τον ίδιο λόγο...

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 27 Ιουν 2012 13:20

Rapid-eraser έγραψε:
cordis έγραψε:χαλάει το performance το md5...
md5 - sha1 και 2-3 ακόμα hash functions έχουν σπάσει εδώ και 4-5 χρόνια :P
Και είναι το ίδιο ασφαλής με το να το έχεις με plain text !!! χααχχαχα

Νομίζω αυτό που επισήμανε ο korgr είναι το πιο σημαντικό...
Αν είναι δυνατών να χρησιμοποιείς ίδιο password σε πάνω από ένα service !!!
Αν και λίγο αργό, κάνει εξαιρετική δουλειά:

Κώδικας: Επιλογή όλων

public function encodePassword($raw, $salt = null)
    {
        $salt = substr(base_convert(sha1(uniqid(mt_rand(), true)), 16, 36), 0, 22);
        return crypt($raw, '$2a$' . $this->cost . '$'. $salt . '$');
    }
Από τον Elnur Abdurrakhimov.

https://github.com/elnur/ElnurBlowfishP ... ncoder.php

kapoios001
Δημοσιεύσεις: 403
Εγγραφή: 17 Φεβ 2011 12:26

Χάκεψαν το tutsplus.com του Envato!

Δημοσίευση από kapoios001 » 27 Ιουν 2012 13:21

fafos έγραψε:
ggirtsou έγραψε: Εξάλλου άλλο είναι να παίρνεις 6 ευρώ και άλλο 15 ευρώ κάθε φορά που γίνεται μια πώληση και να τα έχεις διαθέσιμα στο PayPal account σου και να μην περιμένεις μέχρι τις 15 του επόμενου μήνα για να πληρωθείς.

Προμήθεια το Envato, προμήθεια η PayPal, προμήθεια η Τράπεζα... ε... και τι μένει;
einai pagkosmios gnosto oti auth h yphresia einai gia tritokosmikes xores opos India, Mpagklantes klp opou ta 5-6$ einai pano apo to hmeromisthio.. Oi authors mh tritokosmikon xoron anevazoun pragmata ta opoia exoun ftiaxei gia allous pelates tous kai oti piasoun kai merikoi apo autous euelpistoun se douleies pou mporei na arpaxoun...
Τελικά πρέπει να είμαι πολύ καθυστερημένος γιατί αυτό δεν το ήξερα και πούλησα πάνω από 120 φορές το ίδιο κομμάτι σε εξευτελιστική τιμή. Σήμερα έμαθα ότι "Καλύτερα λίγα με μεγαλύτερο profit παρά πολλά με λιγότερο."

Απάντηση

Επιστροφή στο “Επικαιρότητα & Διάφορες Συζητήσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης