Nuffnang Kena Hack

Entri lama, tapi ni page dah masuk front page Google rasanya. Akhirnya site Nuffnang kena hack jugak secara rasminya oleh kumpulan hacker Malaysia yang dikenali sebagai Gaysec. Rasanya tujuan Gaysec adalah betul, supaya webmaster tempatan lebih berwaspada apabila mengendalikan maklumat pengguna web mereka. Yelah, kalau dah jadi popular tu, memang akan jadi target serangan daripada luar nanti. Jadi lebih baik mereka reveal kelemahan yang ada untuk diperbaiki. Lagipun, Nuffnang kan buat untung banyak. Kalau untung banyak tapi site tak secure, apa gunanya? Jangan nak makan kenyang makan je tapi maklumat sensitif pengguna tak terjaga.

Harap mereka meneruskan usaha murni ini, ke arah standard website tempatan yang lebih secure. Kalau nak hack blog cap ayam macam blog aku ataupun sekali blog lain dalam blogosphere Malaysia ni memang no point. Blogger macam aku ni manalah buat duit juta-juta mahupun ribu-ribu untuk upah programmer dan buat site jadi secure. Go, target website korporat besar-besar yang buat website macam keparat. Untung juta-juta, tapi identiti pengguna tak secure.

Mesej daripada Gaysec:

Lelaki Kacak

#Title: nuffnang.com.my digodam dan separuh database dilepaskan
#Date: 23 July 2011

  ,ad8888ba,         db    8b        d8  ad88888ba   88888888888  ,ad8888ba,
 d8"'    `"8b       d88b    Y8,    ,8P  d8"     "8b  88          d8"'    `"8b
d8'                d8'`8b    Y8,  ,8P   Y8,          88         d8'
88                d8'  `8b    "8aa8"    `Y8aaaaa,    88aaaaa    88
88      88888    d8YaaaaY8b    `88'       `"""""8b,  88"""""    88
Y8,        88   d8""""""""8b    88              `8b  88         Y8,
 Y8a.    .a88  d8'        `8b   88      Y8a     a8P  88          Y8a.    .a8P
  `"Y88888P"  d8'          `8b  88       "Y88888P"   88888888888  `"Y8888Y"'  Net

assalamualaikum dan selamat sejahtera,

Setelah beberapa hari menyepi, akhirnya kami telah kembali dengan
rekaan laman web, sistem dan beberapa fungsi yang baru. Kami akan
cuba membantu anda selagi termampu di halaman facebook kami iaitu
http://www.facebook.com/pages/GaySec/192237197500884 jika anda mempunyai
masalah komputer, tahap keselamatan laman web atau komputer, bahasa
pengaturcaraan, atau apa sahaja, kami akan cuba untuk membantu.

Bercerita tentang nuffnang, mungkin di malaysia ini sudah semestinya
ramai blogger yang menggunakan laman sesawang nuffnang untuk mendapatkan
duit daripada jumlah pelawat, trafik dan pelbagai lagi dengan menggunakan
servis pengiklanan daripada nuffnang.com.my.

Hari ini kami bersempatan untuk melawat halaman nuffnang dan kami telah
mendapati laman sesawang nuffnang.com.my tidaklah sebegitu selamat. Kami
mulai risau jika suatu hari nanti ada seseoarang yang dapat memasuki ke
dalam server(pelayan) nuffnang dan manipulasikan antara servis pengiklanan
nuffnang untuk melepaskan virus dengan menggunakan iframe dan skrip javascript
yang telah tertanam di dalam setiap laman web yang melanggan iklan servis
nuffnang. Kami risau jika suatu hari nanti nuffnang akan dijadikan sasaran
utama untuk menyebarkan virus yang merebak melalui halaman seperti laman
sosial facebook yang dijangkiti virus koobface. Mungkin seseorang itu boleh
menggunakan teknik "ActiveX java" untuk menamkan virus seperti stealer(pencuri),
rat(remote administration tool) dan pelbagai lagi virus yang boleh menyebabkan
sesebuah komputer pelawat itu dijangkiti oleh virus yang telah di tanamkan
di dalam halaman skrip javascript nuffnang tersebut.

Kami cuma akan berkongsi sebanyak 34,531 ribu database
yang sedang berada oleh kami sekarang di atas sebab kesalamatan dan perkara
yang tidak dapat dielakkan.

Kami cuma mahu memberi kesedaran terhadap sistem admin dan web master itu
tentang keselamatan laman web sendiri, sebelum menuduh dan menyalahkan kami,
sila gunakan kepandaian atau duit anda untuk mengupah sesiapa sahaja yang
memberikan servis "security pentest" di malaysia ini, kami rasa terlalu
banyak syarikat yang membuat servis "security pentenst" bagi menyemak dan
melakukan pengimbasan terhadap keselamatan sesuatu sistem dan laman sesawang itu.

Oh, sebelum terlupa, mengenai bentuk dan hash kata laluan nuffnang...
Nuffnang menggunakan format SHA1(kata laluan biasa + tarikh akaun di daftarkan).
Maknanya anda memerlukan tarikh akaun di daftarkan untuk melakukan proses
"penukaran" kata laluan daripada SHA1 kepada kata laluan asal.

Anda boleh memuat turun pangkalan database nuffnang daripada sini:

http://www.gaysec.net/files/nuffnang_34531_user.rar

—

Entri asal page ini. Mengarut je dulu..

Ha. Itulah, tak nak kasi aku buffered ads lagi. Kan dah kena hack. Habis database ko aku drop.

42 thoughts on “Nuffnang Kena Hack”