Jak s webhostingem řešit únik dat zákazníků?

[Poch1953]

Zdravím,
minulou středu mě zákazník požádal o pomoc s nefunkčním webem hostovaným u Wedosu.

Během průzkumu situace se web sám rozběhl (zřejmě krátký výpadek Wedosu), ale při té příležitosti jsem v rootu webu objevil 2GB soubor s core dumpem paměti virtuálního serveru Wedosu :-O
Napsal jsem podpoře o nálezu, odpověděl mi člověk č. 1 (C1), že je vše v cajku a web funguje.
Optal jsem se tedy podruhé, co s tím core dumpem obsahujícím hesla zákazníků, odpověděl C2, že pokud mám napadený web, mám informovat své zákazníky.
V dalším mailu jsem požádal, aby mě spojili s někým ze security, kdo bude vědět, o čem je řeč.
Odpověděl C3, ať mu soubor pošlu - nevím jestli čekal, že budu přikládat 2GB do přílohy mailu nebo dump paměti jejich serveru nahrávat někam na uloz.to?
Nakonec jsme se tedy domluvili na založení FTP přístupu.
Od té doby se nic neděje, zákazníkovi nepřišla výzva ke změně hesla, na můj dotaz žádná reakce.

Je možné, že na hostingu došlo k singularitě, která se stává jednou za trvání vesmíru a jediný, kdo si toho všiml jsem já a nic se neděje (tedy kromě toho, že mám přístup k heslům desítek zákazníků Wedosu, atd...).
Ale taky si umím představit situaci, kdy každý pád serveru ukládá zákazníkům core dumpy serveru na jejich FTP nebo dokonce situaci, kdy útočník o takovém chování ví, umí ho sám vyvolat a core dumpy si takto sbírá podle potřeby.
Tím, že Wedos nedává přístup k access logům zdarma, nemám jak zkontrolovat, jestli si soubor někdo přede mnou stáhnul.

Nevím, jak Wedos přesvědčit, aby informoval zákazníky, že je nutné si změnit hesla.

Mám shánět mail na J. Grilla? Psát na NÚKIB? ÚOOÚ? Jak byste to řešili vy?

[Reklama]

[RDa]

Pokud core dump obsahuje jakekoliv citelne hesla jez pouziva jen vase aplikace (predpokladam ze pamet virtualky je pouze vas ucet), tak je spatne ona aplikace - a namisto otravovani vesmiru by ses mel zamerit na napravu - proc tvuj zakaznik provozuje aplikaci stylem ktery neodpovida good practices (tj. nemit plaintext hesla).

[Filip Jirsák]

Kontakty z https://www.wedos.com/.well-known/security.txt zjevně použít nejde, protože Wedos takový soubor nemá.

Pan Grill se tu občas vyjadřoval, tak třeba mají monitoring na slovo Wedos :-)

Pokud core dump obsahuje jakekoliv citelne hesla jez pouziva jen vase aplikace (predpokladam ze pamet virtualky je pouze vas ucet), tak je spatne ona aplikace - a namisto otravovani vesmiru by ses mel zamerit na napravu - proc tvuj zakaznik provozuje aplikaci stylem ktery neodpovida good practices (tj. nemit plaintext hesla).

Jde o webhosting, ne o VPS. Alespoň podle titulku dotazu.

[Poch1953]

Je to jak pise Filip Jirsak - jedna se o webhosting Wedosu, na kterem je zakaznik spolecne s dalsimi zakazniky Wedosu.
Dump pameti pochazi z virtualu, na kterem Wedos provozuje svoje sluzby a v pameti jsou tedy hesla cizich uctu.
Nedelal jsem zadnou hloubkovou analyzu, treba by se daly vytahnout i privatni klice wedosich certifikatu :-)
Staci na dump jen pustit strings a padaji z toho nazvy databazi, uzivatele a hesla do DB...

[McFly]

Staci na dump jen pustit strings a padaji z toho nazvy databazi, uzivatele a hesla do DB...

To je docela děsivé. ;-) Přemýšlím, zda na firemním webhostingu u Wedosu raději nezměnit heslo k FTP a DB lol.

[Reklama]

[Filip Jirsák]

Tady mají odkaz na kontaktní formulář na vedení společnosti: https://www.wedos.com/cs/kontakty/ Zkusil bych to. Včetně té informace, že jste z Wedosu získal hesla cizích účtů.

[Poch1953]

To se bohužel jako kontakt na vedení společnosti jenom tak tváří - odkaz vede na běžný kontaktní formulář
https://client.wedos.com/contact/cform.html
přes který jsem je kontaktoval poprvé a nyní si dopisuju s podporou mailem (dopisuju si sám, od nich je poslední odpověď ze čtvrtka 19. 9.)
Zkusil jsem to i přes chat s operátorem, ale ten viděl otevřený případ a odkázal mě na něj.
Možná kdybych zkoušel chat opakovaně, třeba bych narazil na někoho s kým je řeč, ale přijde mi to padlé na hlavu.
Zkusím asi Wedos fórum, tam to aspoň uvidí jejich zákazníci.

[Filip Jirsák]

Případně bych je pak zkusil kontaktovat na sociálních sítích, na které se odkazují – Twitter, LinkedIn, Facebook.

Že nemají na webu security.txt je teda u webhostingové společnosti také docela ostuda.

Pořád to říkám, že nejdůležitější kvalifikací operátorů L1 podpory by mělo být rozpoznat, kdy je na druhé straně někdo na úplně jiné úrovni a předat ho na správné místo. Jestli tohle bude AI zvládat lépe, než ti operátoři, nahradí je AI.

[Poch1953]

Hlásím, že debatu je možné uzavřít, u Wedosu se pohly ledy (asi čtou Roota :-) a začali jednat. Potvrdili mi, že začínají obesílat zákazníky, kterých se únik může týkat.
Přikládám část mailu, který mi přišel dnes večer:

...Je mi velmi líto, že vaše hlášení nebylo včas správně zpracováno, a omlouvám se za jakékoliv komplikace, které to mohlo způsobit.

O situaci jsem byl informován kolegou a okamžitě jsem se zasadil o důkladné prošetření celé situace. Zjistili jsme, že došlo k pochybením v interních procesech, která vedla k tomu, že vaše upozornění nebylo včasně ani adekvátně řešeno, kvůli nepřítomnosti jednoho z kolegů. V důsledku tohoto přijmeme personální opatření, abychom zajistili, že v budoucnu budou naše bezpečnostní standardy i reakční doba odpovídat těm nejvyšším nárokům.

Osobně dohlédnu na zavedení dalších kontrolních mechanismů a posílení našeho bezpečnostního týmu, abychom podobným problémům předešli. Vaše hlášení nám umožnilo nejen odhalit konkrétní incident, ale také výrazně zlepšit naše interní procesy a tím zvýšit úroveň zabezpečení pro všechny naše zákazníky...

[ogdru6jahad]

kolikrat jsem uz to zazil, ze nejaka vec byla zavisla na jednom cloveku a kdyz nastalo "....kvůli nepřítomnosti jednoho z kolegů...", tak se vsecko rozsypalo.

[McFly]

kolikrat jsem uz to zazil, ze nejaka vec byla zavisla na jednom cloveku a kdyz nastalo "....kvůli nepřítomnosti jednoho z kolegů...", tak se vsecko rozsypalo.

Se slzou v oku vzpomínám na kauza Banan.cz vs zlí hackeři - https://www.lupa.cz/clanky/otazky-okolo-hacku-banan-cz-zustavaji/ - tehdy kluci ušatí banánoví udělali snad všechno špatně, ale nepřiznali nic. Mlžit mlžit mlžit.

[MalyTomi]

McFly: ach nocne mory z diskusnych for sa vratili. Kazdy druhy prispevok bol kaluza a banan.cz

[_Tomáš_]

a zase se na něco vymlouvájí, prý chyběl kolega. Nepoučí se a nepoučí se.

Tohle je dost závažný problém a ukazuje to na systémovou chybu, core dump a ještě přístupný uživatelům a ne jen rootu.

U wedosu se zásadně bezpečnostní věci musí hlásit přímo panu Grillovi, nebo to zveřejnit po fórech, protože jinak jsou pevností, kde přes podporu se nedokopeš nikam. My jsme jim to jednou posílali i datovkou, bylo to rychlejší než podpora.

Vtipná je i jiná věc, ne všechny programovací jazyky nulují paměť při jejím vyprázdněný, je docela sranda si alokovat neinicializovanou paměť a pak si číst, co tam je, takové ty ArrayBuffer věci jsou na to super, bohužel php je dostatečně hloupé, aby to neumělo bez dodatečné .so.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Jak se daný soubor s dumpem jmenoval?

[Poch1953]

Nazev souboru umyslne nezverejnuju, ale kdyz mi nekdo poskytne seznam domen, ktere Wedos hostuje, muzu Wedosu pomoct se skenem a v rychlosti projet vsechny hostovane domeny, jestli se dump nevali i na dalsich zakaznickych uctech