Serwis Wykop.pl jest tworzony przez użytkowników. Każda informacja jest dodawana, oceniana i komentowana przez jego społeczność. W praktyce serwis stanowi platformę do wymiany informacji – internetowych „znalezisk”. Każdy zarejestrowany użytkownik może zamieścić na stronie link do artykułu, który wydał mu się z jakiś powodów godny uwagi. Inni internauci, „wykopując” bądź „zakopując” udostępnioną przez niego informację, wpływają na to, co pojawia się na stronie głównej.
W piątek użytkownicy serwisu zaczęli zauważać, że na stronę główną w błyskawicznym tempie trafiają niektóre wpisy. Właściciele kont, którzy rzekomo mieli je „wykopywać”, twierdzili, że następowało to bez ich udziału. Wkrótce stało się jasno, że ktoś przejął konta setek internautów, by promować wybrane przez siebie treści.
Mechanizm ataku
W niedzielę szef serwisu Michał Białek oficjalnie potwierdził, że doszło do ataku hakerskiego. „Atak na konta Wykopowiczów przeprowadzony był metodą brute force i dotyczył jedynie kont, które zabezpieczone były banalnie prostymi hasłami. Atak przeprowadzono w sposób, który nie powodował zauważalnego skoku w obciążeniu, co poniekąd niestety uśpiło naszą czujność (pisownia oryginalna – red.)” – wyjaśnił. Jak podkreślił, nie doszło jednak do wycieku bazy danych Wykopu.
Apel do użytkowników
Administracja poinformowała o podjętych działaniach (zbanowanie podejrzanych kont, wymuszone zresetowanie haseł, zmiany w sposobie logowania). Pojawił się też apel do internautów. "Chcemy jednak przypomnieć, że nawet najlepsze metody nic nie dadzą, jeśli sami nie zadbacie o odpowiednią ochronę własnego konta. W tej aferze, konta, do których dostęp został przejęty, miały bardzo proste hasła, wręcz banalnie proste. Jeśli ktoś jeszcze ma ustawione jedno z popularniejszych haseł lub stosuje hasła podobne do nazw loginu - prosimy, zmieńcie je na trudniejsze. I koniecznie przejrzyjcie swoje aplikacje, by upewnić się, że nie ma wśród nich aplikacji niezaufanych" – przestrzegł Michał Białek.
Kto zawinił?
Atak przeprowadzony na konta użytkowników serwisu Wykop.pl zostanie zgłoszony odpowiednim organom. Z komentarzy zamieszczanych przez użytkowników wynika, że złamane hasła to w większości naprawdę łatwe kombinacje, takiej jak: „hasło”, czy „123456”. Internauci zwracają jednak uwagę na fakt, że również administracja nie wywiązała się stu procentach, ponieważ serwis nie blokował użytkownika, niezależnie ile błędnych prób logowania podjął.