Felhívás
2023. 09. 01. estéjén hackertámadás érte a PlayClan összes szolgáltatását/oldalát,
ezzel kapcsolatban hoztunk nektek most részletes információkat, teendőket.
Kérjük az összes játékosunk együttműködését a lehető leggyorsabb megoldás érdekében.
A történtek sorrendje, pontos időpontjai:
- 2023-09-01 22:12:31-kor megtörtént az első sikeres bejelentkezés a webadminunkba, amit a legjobb tudomásunk szerint mysqlből regisztráltak külsőleg,
mivel a webadmin adatbázis felhasználók táblája az általunk utoljára regisztrált felhasználó azonosítója 34,
és a napló által kimutatott felhasználó azonosítója meg 1338 volt.
- A mysql szerverünk elérhető volt külsőleg, így a támadók hozzáfértek az adatbázisunkhoz, ezzel letölthették az összes adatot a mysql szerverünkről.
- Az első mysql hozzáférés időpontja ismeretlen számunkra. (Feltételezhetően a fentebb említett időpont előtt maximum 2 órával lőhető be az időpont)
- A mysql jelszó megszerzésének oka számunkra ismeretlen, mivel az egyedüli kiindulópontunk a webadmin vizsgálati naplója volt,
ami csak a webadminban történteket naplózza.
- 2023-09-01 22:14:05-kor fértek hozzá a webadminunkban levő szerverekhez, amiből tudásunk szerint hármat tudtak letölteni,
név szerint: Proxy szerver ami a többi szerverünk elérést szolgálja (Mint a Lobby, SkyBlock, BedWars stb.)
Az Auth szerver a bejelentkezési szerver, ahova a játékosok először érkeznek a fellépés után és ott tudnak regisztrálni akár bejelentkezni,
hogy játszhassanak a többi szerveren. A Discord bot amit a webadminban futtattunk.
- 2023-09-01 23:06-kor érkezett tudomásunkra hogy hozzáfértek a szerverekhez és az adatbázisokhoz.
Ezekben a percekben került törlésre az összes szerverünk a webadminból, mielőtt még cselekedni tudtunk volna.
A mysql szervert leállítottuk a weboldalakkal együtt, elkezdtük a kárfelmérést. Viszont a discord botunk bejelentkezési azonosítóját
(tokenét) elfejtettük visszaállítani és 2023-09-02 00:15-kor fő Discord szerverünk csatornái törölve lettek 4 tag került kitiltásra discord botunk által
(Felvettük velük a kapcsolatot, hogy zökkenőmentesen ismételten részei lehessenek a közösségünknek),
vezetőségi discord szerverünk tagjai ki lettek tiltva, összes csatorna törölve lett. Egy perc elteltével a Discord botunk tokenje vissza lett állítva,
ezzel megakadályozva a tagok kirúgását fő Discord szerverünkről. (PlayClan Közösség)
- A kár felmérést folytattuk, és a Discord szerverünk visszaállítását is megkezdtük egy időben ezzel.
- 2023-09-02 09:00 óra környékén fejeztük be az új védelem fejlesztését egyben beiktatását.
Ezt követően a minecraft szerverek, weboldalak egyben az adatbázisok visszaállítását is megkezdtük.
Hibákat amiket vétettünk:
- Mysql adatbázis szerver elérhető volt kívülről
- Mysql adatbázis szerver elérhető volt phpmyadmin használatával
- Egy adatbázis fióknak minden adatbázishoz volt hozzáférése
- Pterodactyl webadmin elérhető volt publikusan mindenki számára
- Az mc-szerverek felvásárlásakor nem lett a rendszer teljesen átvizsgálva, így a gyenge jelszótitkosítása hibát hagyott hátra
- Discord botunk webadminból való futtatása
Lépések amiket tettünk:
- A Mysql szervert kizárólag lokálisan tettük elérhetővé
- Phpmyadmin használatát megszüntettük
- Pterodactyl webadmin felületét megszüntettük
- Szervergépeinket mostmár csakis saját VPN használatával érhetjük el
- Értesítettünk minden PlayClan felhasználót, aki email címet társított a fiókjához
- Értesítettünk minden mc-szerverek felhasználót az incidensről
- Mc-szerverek jelszó titkosítása átdolgozva biztonságosabb algoritmust használva, ezzel az összes eddig regisztrált felhasználónak vissza kell állítani a jelszavát
- Minden PlayClan játékos jelenlegi bejelentkezési munkamenete törölve
- Minden fontosabb tevékenységről értesítést kapnak mostmár a vezetők
- A szerver visszaállítva 2023-09-01 reggeli biztonsági mentésére
Mik kerültek ki:
- PlayClan és mc-szerverek adatbázisa
- PlayClan Proxy, Auth szerver (Nem nagy veszteség, pár perc alatt frissíthető)
- PlayClan Discord bot (128 sorból állt, alap dolgokat csinált amit bárki megírhat 0 tudással is)
- PlayClan felhasználók:
- Játékosnevek
- SHA256 + Salt jelszavak
- Fiókhoz társított email címek
- Kétlépcsős azonosítók titkos kódjai
- Regisztrációkor használt IP címek
- Utolsó bejelentkezéskor használt IP címek
- PayPal email címek
- PayPal számlázási adatok
- SMS-ben történt feltöltések telefonszámai
- Fiókhoz tartozó bejelentkezési munkamenetek
- A minecraft szerveren történt privát üzenetváltások
- Mc-szerverek felhasználók:
- Felhasználónevek
- MD5 jelszavak
- Fiókhoz tartozó email címek
- Bejelentkezési IP címek
- PayPal email címek
- PayPal számlázási adatok
- SMS-ben történt feltöltések telefonszámai
Lépések amiket nektek kell megtenni:
- Ha volt fiókotok a playclanon, akár minecraft szerveren akár a shopban:
- Változtassatok jelszót. (A shop.playclan.hu weboldalon tudtok jelszót változtatni)
- PlayClan fiókhoz társított kétlépcsős azonosítóitok törlése majd újbóli beállítása. (Ezt a shop.playclan.hu weboldalon tehetitek meg)
- Ha volt mc-szerverek.hu-n fiókotok:
- Változtassatok jelszót.
Ha máshol is használtátok a PlayClan vagy mc-szervereken lévő jelszavaitokat akkor változtassátok meg mindenképp azokon a felületeken.
Ha bármelyikben segítség kell a felsoroltak közül akkor ticket formájában jelezzétek és segítünk.