Vážení uživatelé, protože se to týká z 90% českých a slovenských uživatelů, napíšu to česky.

V minulém roce jsem na Jabbimu provedl výrazné změny, vyvolané zvýšenými pokusy o průniky do našich systémů a řadou DDoS útoků. Základní schéma těchto změn je zde. Ve stručnosti: Kritické databáze nejsou přístupné z webu, servery nejsou dostupné přímo z internetu a jsou v DMZ, hesla jsou zabezpečena naším řešením pomocí bcryptu, který je samozřejmě bezpečnější než standardní plaintext a výrazně bezpečnější než volitený SHA1. Tak zabezpečené přihlašovací údaje nemá naprostá většina veřejných XMPP serverů. Úroveň zabezpečení je externě auditována zde. Všechny webservery jsem převedl na https, změnil certifikační autoritu na Let's encrypt. Aplikace, které jsem vyhodnotil jako potenciálně nebezpečné a dlouhodobě neudržitelné, byly zrušeny. Mezi tyto aplikace patřil i Jabbim Archive, byl zrušen v září 2016. Nahradil jsem ho pomocí Message Archive Management, který je dostupný pouze přes XMPP rozhraní a vyhodnotil jsem ho jako menší bezpečnostní riziko, nemá webové rozraní přímo přistupující do MySQL databáze. Služba Jabbim Archive byla službou volitelnou, dostupnou pouze pro VIP uživatele, podle dostupných dat ji používalo (jejich rozhovory se ukládaly) 250-300 VIP uživatelů (cca 1.5% uživatelů Jabbimu), s úbytkem VIP uživatelů na Jabbimu jejich počet spíše klesal.

Jak se bohužel ukázalo, všechny tyto změny nebyly udělány včas. Včera 10.1.2017 se ke mne dostal od novináře Josepha Coxe dump, který je obchodován ruskými hackery. V tomto dumpu byla bohužel databáze se zprávami Jabbim Archive (komunikace zhruba 300 uživatelů Jabbim) a logy této aplikace, 6 měsíců historie, od října 2015 do března 2016, Dnes vyšel na serveru Motherboard článek pana Coxe o tomto úniku. Podle různých náznaků (a bohužel pan Cox je velmi rychlý a nepočkal na lepší analýzu, proto píšu tento článek dříve, než jsem dokončil analýzu dat), byla tato databáze odcizena někdy na jaře 2016, vzhledem k tomu, že rozhraní již neexistuje, neznám momentálně přesný způsob útoku. Hackerem byl podle všechno ruský hacker, který si říká w0rm. Tento hacker je v komunitě poměrně známý, například stojí za hackem americké firmy Citrix a řadou ruských služeb.

Od přechodu na novou technologii zabezpečení hesel pomocí bcrypt 3.10.2016 byli všichni uživatelé 3x zprávou serveru vyzváni ke změně hesla. Přestože v uvedeném dumpu hesla uživatelů nejsou, pokud jste si od 3.10.2016 nezměnili heslo a váš účet vznikl před datem 3.10.2016, tak vás ještě jednou prosím, změňte si heslo na stránce https://jabb.im/register/change_password nebo ve vašem oblíbeném klientovi.

Jabbim letos slaví 15 let existence a je mi velmi líto, že toto výročí bude spojené s podobnou událostí. Obzvlášť mi je líto, že byli postiženi VIP uživatelé, bez kterých by tento server nemohl tolik let fungovat a jejichž finanční i jiné pomoci si nesmírně vážím. Tímto bych se jim chtěl omluvit.

Za Jabbim, pinky