Uwaga na oszustwo z forum Pogadane24!

Nie sądziłem, że będę zmuszony napisać tego typu temat, no ale niestety, użytkownicy są oszukiwani i trzeba tutaj zareagować.
W polskiej sieci istnieje forum o nazwie Pogadane24 - celowo nie podajemy do niego linka ze względu na prowadzone oszustwo. Piotr Dubczyński, admin techniczny tego forum, znany w sieci pod nickami takimi jak Salvation oraz LiveLoveHate, to osoba, która posiadała własne konto na łamach MyBB PL. Niestety złamał on regulamin i został zablokowany. Później blokowaliśmy kolejne jego konta, osoba ta bowiem z nieznanych nam przyczyn nie potrafi dostosować się do ogólnie pojętej netykiety i zachowuje w sposób nieprzyzwoity. Nie nam dokładnie oceniać, z czego to wynika, staramy się o to, aby na MyBB PL panował porządek, a wsparcie było świadczone dla każdego potrzebującego pomocy.

   

Niestety, ostatnie działania Piotra Dubczyńskiego spowodowały, że musimy ostrzec Was wszystkich przed jego osobą i jego praktykami.
Na łamach wspomnianego forum pojawiła się informacja o możliwości reklamy, wymiany reklamowej. Nie byłoby w tym nic dziwnego, sami posiadamy dział odpowiedzialny za reklamę, gdzie każdy może zaprezentować swoje forum. Rzecz w tym, że Piotr wymaga od Was wstawienia na swoje forum specjalnego kodu JavaScript. Kod ten działa w kilku etapach:

1. Pobiera dodatkową czcionkę z Google API (co może odbić się negatywnie na szybkości działania Waszego forum)
   
2. Dodaje link do forum Pogadane24 zgodnie z ogłoszeniem na forum (i to jest fair)
   
3. Usuwa wszelkie linki do MyBB PL - i robi to bez informowania administratora forum.
   

Niestety ostatni punkt jest bardzo istotny - bez linku do polskiego wsparcia MyBB, który stanowi symboliczne podziękowanie za pracę naszych tłumaczy, nie otrzymacie tutaj pomocy technicznej. My przy takim traktowaniu naszej pracy nie będziemy mogli natomiast dalej tworzyć spolszczenia, ani działać w ramach naszej misji promowania MyBB. Przyznam, że w społeczności zajmującej się otwartym oprogramowaniem jest to sytuacja niezrozumiała i smutna. Można być na kogoś złym, niemniej tego typu zagrywki to już trudne do skomentowania zachowanie. 

W tej sytuacji radzimy wystrzegać się wspomnianego forum, a także osoby Piotra Dubczyńskiego. Nie chodzi tutaj o działanie na naszą szkodę - MyBB PL działa prężnie od lat i od zawsze broni się tym, że jesteśmy najlepszym tego typu wsparciem w Polsce, zasługą jest natomiast niesamowita ekipa, która pomaga Wam każdego dnia. Wgrywanie tego typu dodatkowego kodu oznacza możliwość wykonywania ataku XSS na użytkowników Waszych forów dyskusyjnych. Teraz kod wygląda tak, jutro może wyglądać inaczej. Dlatego właśnie, jeżeli dbacie o swoich użytkowników, nigdy nie umieszczajcie na forach zewnętrznego kodu JavaScript z niezaufanych źródeł. 

Administratorzy wspomnianego forum zostali już poinformowani o sprawie.
Czekamy na ewentualną reakcję z ich strony - będziemy o nich na bieżąco informować.


Poniżej załączamy kod szkodliwego skryptu z wyciętym linkiem do szkodliwego forum:

$(document).ready(function(){
    $('<link>').appendTo('head').attr({
        href:'//fonts.googleapis.com/css?family=Cookie|Roboto+Slab:100,300,400,700|Open+Sans:300,400,600,700,800&amp;subset=latin-ext',
        rel:'stylesheet'
    });
    $('a.pogadane24').attr({
        href:'//pogadane24',
        target:'_blank',
        title:'Pogadane24 - forum wielotematyczne'
    }).css({
        color:'#2c9495',
        font:'48px Cookie',
        'text-decoration':'none'
    }).text('Pogadane24');
    $('<br />').insertAfter($('.pogadane24'));
    //$('[href*="' + $(this).match(/mybb[a-z]*.pl/gi) + '"]').next('br').remove();
    $('[href*="mybboard"]').next('br').remove();
    $('[href*="mybboard').remove();
    $('[href*="mybbpl"]').next('br').remove();
    $('[href*="mybbpl').remove();
});

Mam pomysł na nową akcję "Czytaj Kody Z Internetów", a tak na serio się człowiek nie wysilił z tym kodem.
Jeśli powiększycie o jedną linijkę sygnatury to proszę o buttona ostrzegawczego. Albo jeszcze lepiej bbcode do tworzenia własnych buttonów
Mogły by być nawet mniejsze i z możliwością umieszczania jeden obok drugiego.

Nie spodziewałbym się, że ktoś będzie "atakował" główną polską bazę MyBB :/

No to Pograne24.

Witajcie.
Jako właściciel domeny jak i forum czuję się w obowiązku sprostować całą sytuację. Zdanie jednej strony już znacie, czas na drugą.

W pełni poczuwamy się do odpowiedzialności za nasz kod, który napisał nasz technik i z tego miejsca chciałbym serdecznie przeprosić wszystkich, którzy skorzystali z naszej wymiany banerowej i mogli paść ofiarą - jako to określił autor tego tematu - XSS. "Złośliwy" kod został już usunięty, a zabezpieczenia poprawione na tyle, by podobna sytuacja tak jak ta - włamanie przez nieznanego sprawcę, być może przez kogoś, kto chciał podsycać ogień - się nie powtórzyła. Można już spokojnie korzystać z tego kodu, a cała ekipa zastanawia się nad inną możliwością promowania forum.

Jestem osobą nie związaną ze sprawami technicznymi i dla laika ten kod nic nie znaczy, ale z tego co dowiedziałem się, to kod ten usuwał jedynie odnośnik do tejże witryny - nic poza tym. Dlaczego tylko tyle? Nie wiem, ale może mieć to związek ze złymi relacjami na linii NASZ techniczny a TUTEJSZY admin główny, który cierpi może na jakieś paranoje związane z prześladowaniem. Nie dopuszcza nawet myśli do siebie, że może pisać z kimś innym jak z NASZYM technicznym i na potwierdzenie prawdomówności żąda ode mnie numeru telefonu. Tak, mail administracja@pogadane24.pl należy do mnie, nikt inny nie ma do niego dostępu, nawet hasło zmieniłem po otrzymaniu danych od technicznego.

Jedyny poszkodowany @MarcinZ został publicznie i osobiście przeproszony przez naszego technicznego i sprawę uznaje za rozwiązaną. Co potwierdza jego wypowiedź:

Salvation już mnie przeprosił, także na naszym polu sprawę uważam za wyprostowaną.

Pozdrawiam i miłego weekendu.

Mógłbym też przeprosić społeczność tego forum, ale przez chamskie zachowanie Głównego Administratora tego nie zrobię, ponieważ sprawę można było załatwić na "małym podwórku" bez konieczności wywlekania jej na światło dzienne. Informacja o "złośliwym" kodzie, to jedno, a oczernianie wraz z podaniem pełnego imienia i nazwiska, to drugie.
Jednocześnie chciałbym poinformować w imieniu Piotra, że jeżeli - po przeczytaniu tego posta przez administrację - dane mojego znajomego nie zostaną usunięte, to jest on w stanie załatwić sprawę przez odpowiednie organy Państwowe, ponieważ jednoznacznie można stwierdzić o jakiego człowieka w całej tej sprawie chodzi. A udostępnianie publicznie danych osobowych bez zgody jest karalne. Decyzję co do załatwienia sprawy polubownie zostawiam do decyzji Administracji.

Pozdrawiam, Wojciech. Właściciel domeny Pogadane24.pl

@Arajan, bezpieczniej będzie jak w ogóle usuniecie ten JS i dodacie CSS, skoro on tylko dodaje style...

@Arajan:
Tłumaczyłem to już w korespondencji mailowej - sprawa jest poważna, dlatego jak normalny człowiek, który przedstawia się swoim imieniem, nazwiskiem i wizerunkiem chciałbym sprawę omówić telefonicznie. Od tego jest telefon, od tego jako ludzie mamy możliwość mówienia, aby sprawy takie wyjaśniać w taki sposób. Do każdej sprawy podchodzę właśnie tak, kontakt "pisany" to w sprawach najwyższej wagi żaden kontakt. Tobie jako administratorowi i właścicielowi forum, które wywinęło użytkownikom taki numer powinno natomiast zależeć na dopięciu sprawy na ostatni guzik i wyjściu z niej z tarczą, a nie na tarczy. Nie rozumiem, co jest nie tak w próbie wyjaśnienia sprawy przez telefon i jedyne co tu widzę, to strach przed takim kontaktem. Z czego on się bierze, tego nie wiem - ja z anonimami natomiast dyskutować nie będę.

I nie, z Waszego kodu korzystać nie można. Ani Ty jako administrator główny, ani Salvation jako administrator techniczny nie rozumiecie na czym polega atak XSS i jak niebezpieczne jest zamieszczanie na własnych stronach zewnętrznego, niezaufanego kodu JavaScript - stracić mogą na tym użytkownicy nie tylko Waszego forum, ale każdego, które nawiąże z Wami współpracę (wyciek danych, wstrzykiwanie reklam, atak przy pomocy narzędzi RAT - Remote Access Trojan itp.). Nie ja jednak odpowiadam za dokształcanie nikogo, także innych administratorów technicznych. Zwracam uwagę na problem, bo jest poważny, Wy go natomiast bagatelizujecie tworząc tylną furtkę to poważnych problemów - celowych, bo możecie dowolnie zmieniać skrypt, jak i wykonanych przez kogoś innego. Zupełnie, jakby w ramach wymiany nie można było podać linku, zamiast bawić się JavaScriptem... Dla mnie jako osoby zajmującej się kwestiami technicznymi jest to karygodne i nie do pomyślenia. Czy poszkodowany jest jeden, czy wielu, tego teraz nawet nie wiecie z powodu braku kontroli nad własnym skryptem.

Wiemy, że jeszcze do niedawna skrypt kasował jedynie linki do domeny "mybboard", a na dniach został zmodyfikowany aby usuwał także linki do drugiej naszej domeny "mybbpl" którą wykorzystujemy w celach testowych. Tłumaczycie się tym, że ktoś uzyskał dostęp do serwera i zmienił ten skrypt - ktoś uzyskał dostęp do Waszego serwera, a następnie zmienił tylko ten jeden skrypt, w celu usuwania linków do MyBB PL. Włamywacz zrobił tylko to, nic więcej. To nawet nie jest zabawne, to obraża inteligencję osób, które czytają ten temat i rozumieją problem z jakim się zetknęliśmy.

Mailowo określiłem, czego takiego oczekujemy w związku z zaistniałą sytuacją.
Ponownie apeluję do dostosowania się do tych oczekiwań - nie chodzi o MyBB PL, nie musicie szanować ani tego serwisu, ani pracy jego tłumaczy, to świadczy tylko o Was. Szanujcie jednak swoich użytkowników i dokształcie się w kwestii bezpieczeństwa aplikacji webowych. Prowadzenie forum to nie tylko przyjemność, ale przede wszystkim płynące z tego obowiązki i odpowiedzialność.

Najmocniej przepraszam, ale również i ja z pewnych względów muszę odnieść się do tematu.

To prawda, że uważam sprawę za wyprostowaną na linii ja/mój serwis, a Pogadane24. Niejako wynika to również z faktu, że umieściłem ten kod - odnośnik do strony Pogadane24, zresztą już dawno temu na swojej stronie, w celu wymiany reklamowej, nie mając jednak pojęcia, że takie problemy mogą w przyszłości z tego wynikać. Skoro już piszę, to dodam tylko, że na początku, jeszcze w moim poprzednim szablonie, wszystko wyglądało bez zarzutu, a odnośnik do strony MyBBoard.pl wyświetlał się bez problemu. Przy okazji z moich obserwacji wynika, że wcześniej poniższy kod umieszczony był również na innych forach i kłopotów z wyświetlaniem się odnośnika do polskiego supportu MyBB nie było. Bez wątpienia ja ze swojej strony nie chciałem, by forum MyBBoard.pl poniosło jakąkolwiek szkodę.

@Arajan  - Mam jednak małą uwagę. Prosiłbym na przyszłość o uprzedzenie mnie lub chociaż prośbę o potwierdzenie, że fragmenty mojej korespondencji będą udostępniane publiczne. Rozumiem, że w jakimś stopniu odnoszą się do zaistniałego problemu, ale nie chciałbym w żadnym stopniu być zaangażowany w spięcie na tej linii. Lepszym rozwiązaniem byłoby poproszenie mnie o przedstawienie jakiegoś poświadczenia - mniejsza o to gdzie i w jakiej formie. Wówczas nie byłbym zmuszony do generowania tej wypowiedzi, ale skoro już tak się stało, to staram się co nieco wyjaśnić. Na przyszłość wolałbym po prostu być poinformowany o takich poczynaniach.

Ze swojej strony mogę jedynie życzyć powodzenia w rozwiązaniu zaistniałego sporu.

@Arajan  - Mam jednak małą uwagę. Prosiłbym na przyszłość o uprzedzenie mnie lub chociaż prośbę o potwierdzenie, że fragmenty mojej korespondencji będą udostępniane publiczne. Rozumiem, że w jakimś stopniu odnoszą się do zaistniałego problemu, ale nie chciałbym w żadnym stopniu być zaangażowany w spięcie na tej linii. Lepszym rozwiązaniem byłoby poproszenie mnie o przedstawienie jakiegoś poświadczenia - mniejsza o to gdzie i w jakiej formie. Wówczas nie byłbym zmuszony do generowania tej wypowiedzi, ale skoro już tak się stało, to staram się co nieco wyjaśnić. Na przyszłość wolałbym po prostu być poinformowany o takich poczynaniach.

Wybacz, w takich zawiłych sytuacjach czasem człowiek nie pomyśli nawet o czymś tak oczywistym i normalnym. Przepraszam że cię w to wmieszałem w taki sposób.

Jako że forum to miejsce do dyskusji chcę wnieść także moją opinię do tego tematu.
Jeżeli ten kod na chwilę obecną nic więcej nie robił to uważam, że to dobra sytuacja do uświadomienia forumowiczów. Z mojej strony nawet lepiej, że powstał taki kod i został odkryty, gdyż może to uchronić wiele osób przed wyciekami danych w przyszłości. Teraz wystarczy podtrzymać i rozszerzyć akcję uświadamiania.
@Łukasz Tkacz i @Arajan nie lepiej rozwiązać tą sprawę nawet mailami czy na pw i wspólnie przeciwdziałać takim akcjom? //Piszę tak bo wiem że nie każdy lubi rozmawiać przez telefon.

Jeśli chodzi o akcje uświadamiające to chciałbym jeszcze podkreślić
metodę słownikową łamania haseł http://tvn24bis.pl/tech-moto,80/najpopul...12197.html
i wycieki z baz danych

Po otrzymaniu wszystkich informacji od mojej rady administracyjnej i technicznej, wspólnie doszliśmy do wniosku że ten rodzaj reklamy zostanie permanentnie usunięty z naszego forum. Oczywiście jak już wspomniałem jestem laikiem w tych kwestiach więc uznaję każdy rodzaj krytyki i komentarza w danej sprawie i jestem za nie wdzięczny.

Nie zmienia to faktu że wciąż pozostaje niesmak w ustach. Że skoro administracja mybb wiedziała już o tym od dłuższego czasu i postanowiła to sama zignorować ,ma teraz do nas pretensje że nie zrobiliśmy w tej sprawie nic, mimo że sama nie poinformowała nas w żaden sposób w tej kwestii, ani mailowo ani wiadomością prywatną.

Dowiedzieliśmy się o tym po przez wysłanie nam linku z informacją w której oblaliście nas smołą i posypaliście pierzem i przedstawiliście przed faktem dokonanym.

Odkąd stworzyliśmy nasze forum w lipcu zeszłego roku, od admina Łukasza Tkacza, który oczywiście nie boi się ukrywać za Nickiem (chwała panu), otrzymujemy tylko wielokrotne utrudnienia. Bezpodstawne, wielokrotne banowanie naszego oficjalnego konta administracyjnego na tym forum jak i ignorowanie moich osobistych próśb o usunięcie bezpodstawnej blokady. Więc proszę wybaczyć mój brak zainteresowania telefonicznej rozmowy osobą która rzekomo świadoma tego co działo się z naszym banerem sama nie wysunęła się z inicjatywą korespondencji jako pierwsza.

Mogę tylko obiecać że dokonamy wszelkich starań aby nasze forum nie stanowiło zagrożenia dla nikogo kto będzie je odwiedzał jak i każdego kto będzie chciał z nami współpracować.

@ NiespecjalnieUzdolniony. My chcieliśmy tą sprawę rozwiązać po przez PW lub też E-mail, niestety pan Łukasz Tkacz uznał że trzeba tą całą sprawę pokazać wszystkim dookoła.

Uważam temat za zakończony, nie mam zamiaru odpisywać już w nim na żadne zaczepki, uważam że z naszej strony dokonaliśmy wszystkiego co powinniśmy i aż nad to. Jeśli jednak ktoś uzna że trzeba dalej ciągnąć ten temat, zapraszam do robienia tego na mailu lub też PW.

W takim razie i ja uznaję temat za zamknięty, sprawę ewentualnego kontaktu już wyjaśniłem - rozmawiać będę tylko przez telefon lub osobiście z osobą z krwi i kości.

Dziękuję za reakcję na zagrożenie jakie się pojawiło i życzę więcej ostrożności w przyszłości.