← Zpět na všechny články blogu

Historky z podsvětí: Jak unikla data z LinkedInu a Dropboxu?

David Janík
David Janík Aktualizováno 17. 6. 2025 – 21 min. čtení
Blog

Dnes se podíváme na jeden – vlastně hned tři – úniky dat, které obletěly celý svět. Jde o známý data breach z roku 2012, za kterým stál Jevgenij Nikulin. Toho zatkli v roce 2016 v Praze a později byl vydán do USA.

Dozvíte se, jak se mu to podařilo, jak probíhalo vyšetřování a jak se mu povedlo proniknout i do dalších dvou velkých firem – Dropboxu a Formspringu. Díky tomu, že se celý případ dostal až před americký soud, máme k dispozici spoustu podrobných materiálů, které nám odhalují, jak to všechno probíhalo.

Únik dat, který obletěl svět

Z toho, co se stalo si můžeme vzít cenné ponaučení: jak lépe zabezpečit své firmy a jak přemýšlejí útočníci. Možná byste čekali, že šlo o sofistikovaný útok celé skupiny hackerů, zneužití neznámé zranitelnosti (0-day) nebo malware šitý na míru. Ale opak je pravdou. Stačilo být vychytralý a využít příležitostí, které se naskytly. Pojďme si to tedy vzít hezky od začátku.

Článek vznikl díky podcastu Darknet Diaries (ENG), kde mladý specialista na kyberbezpečnost vypráví o podobných útocích, zve si zajímavé hosty a řeší vše, co se točí kolem bezpečnosti. U spousty příběhů se možná zasmějete, ale často vám taky ztuhne úsměv na rtech. Určitě doporučujeme prozkoumat i další díly.

Proč se to vůbec děje?

Odpověď je jednoduchá…

Za pouhých 2 200 USD se prodával balíček s 67 miliony e-mailových adres a hashovaných hesel. A co se s těmito daty obvykle děje dál?

  • E-maily končí ve spamu.
  • Útočníci se snaží prolomit co nejvíce hesel a vytvořit si vlastní slovník pro slovníkové útoky.
  • Získaná hesla zkouší na dalších službách, kde může mít oběť účet.
  • Čím více informací z databáze mají, tím sofistikovanější phishingové kampaně můžou spustit.

A co je horší – v databázi byly i účty IT profesionálů. Pokud se ukáže, že někdo z nich používá stejné heslo i jinde… je zaděláno na další průšvih. Přesně to se stalo v případě Dropboxu. Ale nepředbíhejme.

Jak začíná útok aneb první oťukávání

Každý útok – ať už kybernetický nebo vojenský – začíná průzkumem. Útočníci zjišťují verze softwaru, mapují síť, hledají zaměstnance na LinkedInu. A právě LinkedIn tu sehrál zásadní roli.

Proč? Protože tahle síť je jako otevřená kniha:

  • Ukazuje, kdo kde pracuje (a nejde o falešné profily).
  • Jaké technologie používá (včetně verzí databází či OS).
  • Co dělal v minulosti, jaký má osobní web či blog.

Jak se tedy do takové sítě nepozorovaně dostat? Útočník tušil, že spousta vývojářů má vzdálený přístup do sítě, aby mohli pracovat z domova. V roce 2012 to byla hlavně doména IT firem, ale v době pandemie to byla nutnost už pro většinu firem.

Tady je první kámen úrazu. To, že máte VPN přístup neznamená, že jste nedotknutelní. Spousta firem VPN nasadí, ale už nekontrolují provoz, který se na těchto účtech odehrává ani neochrání VPN samotnou.

A tady začal příběh jednoho vývojáře, jehož osobní blog běžel na domácím serveru.

Domácí server jako vstupní brána

Útočník si vytipoval inženýra z LinkedInu, který měl s velkou pravděpodobností přístup k VPN i k uživatelské databázi. Na jeho veřejném profilu našel odkaz na osobní blog – jednoduchou statickou stránku s informacemi o jeho práci a koníčcích. Nic, co by šlo na první pohled zneužít.

Jenže pak si všiml jedné klíčové věci: stránka neběžela na žádném profi hostingu, ale na domácí IP adrese. To znamenalo jediné – běžela přímo na nějakém domácím zařízení. A to už byla výzva.

Útočník zkontroloval, co dalšího na té IP adrese běží. A trefa – vedle osobní stránky tu byl ještě jeden web: cockeyed.com, blog jeho kamaráda s PHP backendem a hromadou nahraných prank videí.

Právě tady se hacker pokusil najít skulinu, jak se do systému dostat. A uspěl. Podařilo se mu nahrát a spustit vlastní PHP skript s názvem madnez.php. Ten mu umožnil získat shell přístup k serveru, který hostoval nejen cockeyed.com, ale i osobní stránku vývojáře.

TIP: Fail2Ban by mu v tom zabránil – po několika neúspěšných pokusech by útočníka odstřihl. My ho na serverech s VPS Centrem zapínáme automaticky.

Cesta do firemní sítě LinkedInu

Útočník se tedy dostal na domácí iMac. Zjistil, že nejde o firemní zařízení, ale osobní počítač vývojáře. Ale pak přišel na klíčový detail – na tomto iMacu běžel virtuální stroj, na kterém hostoval web, přes který se do systému dostal.

To znamená jediné – útočník se dostal z internetu do virtuálního stroje, a odtud se mu podařilo „přeskočit“ na fyzický hostitelský počítač. Důkaz, že i VM může být rizikovým vstupním bodem, pokud není dobře oddělený.

A pak to přišlo. Při procházení souborů na iMacu narazil hacker na privátní SSH klíč do firemní sítě LinkedInu. Takový klíč slouží k bezheslovému přístupu přes VPN – jde o elektronický podpis, kterým se zařízení ověřuje, že do sítě patří.

Aby mohl klíč použít, potřeboval znát i další parametry připojení. O pár složek dál našel kompletní VPN profil: IP adresu serveru, uživatelské jméno i konfiguraci. Všechno, co potřeboval, měl jako na talíři.

Chyba číslo jedna: připojil se na VPN přímo ze své IP adresy v Moskvě. LinkedIn (firma z Kalifornie) nijak nereagoval. Nepřišlo žádné upozornění, nic se neblokovalo.

TIP: Přístup ze zemí jako Rusko nebo Čína by měl být automaticky zablokovaný nebo alespoň notifikovaný. My to tak na našich serverech děláme – mimo CZ/SK je přístup výchoze zakázaný.

Bylo to vůbec sofistikované?

Ani ne. Útočník neskákal přes firewally jak Spider-Man. Využil chyby, lenosti a nepozornosti. Stáhl databázi s přihlašovacími údaji 167 milionů uživatelů. A LinkedIn? Tři měsíce si ničeho nevšiml – dokud se inzerát neobjevil na underground fóru.

Vyšetřování: Tři měsíce ticha

Čas nejde vrátit, ale každá bezpečnostní chyba je lekce. Bohužel v IT se podobné incidenty dějí pořád – a často je to spíš otázka kdy, než jestli. To nejzajímavější ale přichází právě teď.

LinkedIn neměl tři měsíce vůbec tušení, že byl napaden. Teprve když se na (dnes už neexistujícím) underground fóru insidepro.com objevil inzerát nabízející databázi 167 milionů uživatelů za 2 200 dolarů, začala firma jednat.

Fáze vyšetřování

První krok? Ověřit, že data jsou skutečně jejich. Prodejce obvykle nabídne vzorek dat, aby přesvědčil zájemce. Inženýři z LinkedInu vzorky porovnali s interní databází – a bohužel museli potvrdit: ano, jsou to naše data.

Následovalo standardní čtyřfázové vyšetřování:

  1. Potvrzení pravosti dat.
  2. Zjištění, odkud unikla a jaký byl vektor útoku.
  3. Zabezpečení systému, audit, hledání případných backdoorů.
  4. Forenzní analýza, zapojení státních agentur a úprava bezpečnostních procesů.

Válka začíná: War Room

Vznikla tzv. War Room, do které byli povoláni inženýři z celé země. Inženýři zabrali konferenční místnost a přejmenovali ji na War Room. Pracovalo tu 40 až 60 lidí, včetně specialistů z celé země. Procházeli logy, analyzovali chování síťových služeb, hledali cokoliv, co by vedlo k pachateli.

První vodítko? VPN přihlášení z Moskvy. Následoval výslech inženýra, zaměstnance, jehož přihlašovací údaje byly použity. Ale připojoval se z iMacu, který neměl být k VPN připojený. Forenzní analýza pak odhalila další detaily

Následoval výslech:

  • Byl jsi v poslední době v Rusku? – Ne
  • Použil jsi ruskou proxy? – Ne
  • Dal jsi někomu své přihlašovací údaje? – Ne

Záhada se začala rozplétat. Zjistilo se, že připojení šlo z domácího iMacu, který byl napojený na síť – a pravděpodobně neměl být. Požádali inženýra, aby zařízení přinesl k důkladné analýze.

Mezitím na druhé straně…

Hacker se mezitím pustil do další fáze – crackování hesel. Hesla v databázi nebyla v čitelné podobě (plaintext), ale hashovaná. Aby zjistil, jaká skutečně jsou, musel je prolomit. S tím se netajil – na fórech zveřejnil několik hashů a poptával pomoc.

To samozřejmě zachytil tým z LinkedInu. A situace se začala zhoršovat. Hacker se aktivně snažil získat přístupy k dalším účtům.

Další problém? LinkedIn v té době nepoužíval saltované hashe – tedy systém, kdy je ke každému heslu přidán jedinečný „šum“, který znemožňuje použití předpočítaných tabulek (tzv. rainbow tables). Byli v procesu nasazení, ale u milionů účtů to nejde přes noc.

Logy: váš nejlepší přítel i noční můra

Celý incident ukázal, jak kritické je logování. Bez logů neodhalíte, co se kdy stalo. Jenže uchovávat logy nestačí – musíte v nich umět i hledat. A když jich máte stovky tisíc, proměňuje se analýza v hledání jehly v kupce sena.

VPS Centrum

Vyzkoušejte zdarma naši aplikaci pro správu serveru a domén. Budete si připadat jako zkušený administrátor.

Dropbox: Jeden inženýr, jedno heslo, jeden průšvih

Zatímco LinkedIn a FBI jeli na plné obrátky, útočník mezitím nezahálel. A jeho další zastávkou byl Dropbox. Tohle sice nebylo předmětem soudního řízení, ale díky indiciím víme, jak to pravděpodobně probíhalo.

Představte si: máte databázi ze sociální sítě, kde jsou převážně IT profíci. Některá hesla se vám podaří prolomit – a zjistíte, že jeden z uživatelů pracuje jako inženýr v Dropboxu. Znáte jeho heslo k LinkedInu. Co uděláte?

Zkusíte ho na dalších službách.

Útočník se dostal do jeho účtů na Twitteru, Facebooku, Googlu a jinde. Inženýr později přiznal, že používal stejné heslo pro více služeb. Hacker si tedy řekl: co když používá to samé i v práci?

A bingo – další přístup získán.

Nevíme, jestli se dostal dovnitř přes firemní VPN, nebo třeba skrz administrátorské rozhraní. Ale byl tam. A to je klíčové.

Poznámka pod čarou: Ano, pořád se bavíme o IT inženýrovi. Člověku, který by měl vědět, že znovupoužívání hesel je smrtelný hřích. Ale lenost je holt silný nepřítel. Používejte správce hesel. Tečka.

Freelo - Nástroj na řízení úkolů a projektů

Přidej se, pozvi svůj tým a klienty, rozděl práci a sleduj, jak se úkoly dají do pohybu.

Naštěstí jen metadata. I když…

Štěstí v neštěstí – tenhle zaměstnanec neměl přístup k uživatelským souborům na cloudu. Jinak by škody byly astronomické.

Měl ale přístup k tzv. metadatům:

  • Uživatelským jménům.
  • E-mailovým adresám.
  • Hashovaným / saltovaným heslům.

V té době už byla FBI v obraze a zjistila, že jeden z prolomených účtů patří právě zaměstnanci Dropboxu. Upozornili firmu a poskytli technické detaily – IP adresu, user-agent…

Dropbox vyhlašuje pohotovost

Dropbox potvrdil, že přístup z uvedené IP adresy proběhl. A okamžitě rozjel vlastní krizový scénář. Malá firma o 150 lidech najednou vstoupila do módu „full incident response“. Založili svou War Room a začali verbovat nové lidi i celé bezpečnostní týmy.

První krok? Interní wiki. A byl to jackpot – útočník získal přístup do wiki systému, kde byly popsány interní procesy a postupy. Následně se jim podařilo vystopovat účet zaměstnance, který přistupoval z ruské IP adresy.

Zjistili, že ten samý účet pozval jiného uživatele ke sdílení dat. A pak už jen sledovali, jak se na ten „cizí“ účet přesouvají velké objemy dat.

Útočník si tedy stáhl, co mohl, přesměroval si soubory na vlastní úložiště – a zmizel.

Znovu se ukázalo, že ani jedna z největších IT firem světa není imunní. Stačí jediný zaměstnanec, který opakuje hesla.

Formspring: Další sociální síť, další průšvih

Třetím terčem se stala Formspring (dnes twoo.com) – sociální síť ve stylu „zeptejte se mě na cokoliv“. A taky klasický příklad toho, proč jsou podobné platformy oblíbeným cílem hackerů: hromada dat, minimum obrany.

Řekli byste si, že když už na našich datech vydělávají miliardy, budou je chránit jako oko v hlavě. No… ne tak docela.

Mimochodem – podle statistik z roku 2021 na webu Have I Been Pwned už LinkedIn ani nefiguruje v TOP 10 největších úniků. Prostě klasika. Po čase vás někdo trumfne.

Ale zpět k našemu příběhu.

Opakuje se scénář

V červnu 2012 získal útočník přístup k jednomu z administrátorských SSH účtů Formspringu. Není jisté, jak se tam dostal – možná znovu přes prolomené heslo z jiné služby, jako u Dropboxu. Ale víme, že byl uvnitř.

Získal přístup také do webového admin panelu a – jak jinak – nahrál svůj oblíbený skript madnez.php, který mu umožnil se kdykoli vrátit. Pak začal pátrat po interní wiki, kde našel dokumentaci o tom, kde a jak jsou ukládána hesla.

Díky přístupu do administračního rozhraní mohl spouštět vlastní SQL dotazy. A tak spustil své oblíbené „grab & go“ – stáhl databázi 420 000 účtů včetně e-mailů, uživatelských jmen a hesel (salted/hashed).

9. června 2012 se data objevila na underground fóru. A z Formspringu se stala další firma ve frontě, která spustila interní „požární poplach“.

Rychlá reakce: tentokrát za jeden den

Na rozdíl od LinkedInu nebo Dropboxu zareagoval Formspring překvapivě rychle. Během jediného dne:

  • potvrdili, že se jedná o jejich data,
  • vystopovali přístup z ruské IP adresy,
  • našli skript madnez.php,
  • viděli aktivitu v interní wiki,
  • a prošli logy SQL dotazů, které útočník spouštěl.

Je pravda, že infrastruktura Formspringu byla menší. Ale i tak – vyšetřit útok z logů dva měsíce zpětně za jediný den? Klobouk dolů.

Opatření, která následovala

Firma následně:

  1. odstranila škodlivý skript,
  2. resetovala všem hesla a zavedla jejich pravidelnou rotaci,
  3. posílila monitoring – zejména pro přihlašování administrátorů z podezřelých lokalit,
  4. odstavila kompromitované servery a přemigrovala služby na nové stroje.

A hlavně: už druhý den informovali své uživatele a požádali je o změnu hesla.

FBI je na stopě

Jakmile Formspring oznámil únik dat, kontaktovala je FBI a požádala o spolupráci. Dostali přístup k logům a brzy bylo jasné, že za útoky na LinkedIn, Dropbox i Formspring stojí ta samá osoba. Všude se objevovaly stejné IP adresy, stejný user-agent Sputnik, podobné vzorce chování.

První digitální otisk

FBI se pustila do procházení logů LinkedInu. A bingo – našli přístup z té samé IP adresy a se stejným user-agentem i na veřejnou verzi linkedin.com. Útočník si tu založil účet pod jménem Jammiro Quatro. Profil byl prázdný, ale vedl na e-mailovou adresu: chinabig01@gmail.com.

To byla první pořádná stopa.

Hledání podle IP: problém jménem Rusko

FBI si vytipovala podezřelé IP adresy a ráda by věděla, komu patří. Jenže… všechny vedly do Ruska. V USA by stačila předvolání a ISP poskytne jméno majitele. V Rusku to tak snadno nejde.

Naštěstí existuje MLATMutual Legal Assistance Treaty, tedy mezistátní dohoda o spolupráci při vyšetřování. FBI tedy odeslala žádost. Jenže… odpověď může přijít za 8 měsíců, nebo taky za 5 let.

A tak se pátrá dál…

FBI spojovala další střípky: IP adresy, user-agenty, browsery, operační systémy. A s překvapením zjistila, že útočník všude používal stejný e-mail – chinabig01@gmail.com. Dokonce i při registraci na napadených službách. Nechápali, proč ho stále používal – byla to první velká chyba.

FBI poslala Googlu žádost o data – a tentokrát BINGO na straně vyšetřovatelů.

Co všechno ví Gmail?

Hodně. Opravdu hodně.

Z účtu chinabig01@gmail.com se FBI dozvěděla:

  • Přístup probíhal z těch samých IP adres, jako u všech útoků.
  • Vyhledávané fráze: „WordPress vulnerabilities„, „TrueCrypt hack„…
  • Aktivitu na underground fórech.
  • Navštěvování článků o vlastních útocích (!).

V inboxu našli i uvítací e-mail od služby Vimeo, tak putovala další obsílka. Ze záznamů v LinkedIn logách bylo vidět i přihlašování na účty zaměstnanců Automattic (na firmu stojící za WordPressem).

E-mailová detektivka pokračuje

Z jiného e-mailu – r00talka@mail.ru – už FBI pomocí klasické obsílky nepochodí. Ale Google search ukázal, že tento nick je navázán na další Gmail účet. Další obsílka, další data.

Tentokrát našli i vyhledávání zubaře v Moskvě přes Google Mapy – a vázaný účet na síti Vkontakte. A konečně – přišla odpověď z MLAT. FBI dostala dvě jména a dvě fyzické adresy.

Jednou z nich byl Jevgenij Nikulin. Odpovídaly IP adresy i lokace hledané na Google Mapách. Fotky na Vkontakte seděly.

Mezitím: mezi hackem a luxury lifem

Jevgenij Nikulin, ročník 1988, byl na sítích známý tím, že si rád užíval luxus – značkové oblečení, drahá auta, večírky. Přitom v Rusku oficiálně neměl zaměstnání, majetek ani živnost. Přesto vlastnil několik firem, včetně půjčovny luxusních vozů.

FBI na něj vydala mezinárodní zatykač, ale šance, že by byl vydán z Ruska, byla téměř nulová. Museli čekat.

Klíčový svědek: Kislitsyn

Vyšetřování zavedlo FBI k osobě jménem Kislitsyn – ten zřejmě propojoval hackery s kupci dat. Používal e-mail u @hotmail.com – takže tentokrát nebyl problém se žádostí o informace. A uvnitř? Potvrzení o prodeji databáze Formspringu za 7 100 dolarů.

FBI jej označila za spoluúčastníka, ale opět – Rusko. Zatknout ho nemohli. Přesto se jim podařilo domluvit si schůzku přímo na ambasádě v Moskvě. K překvapení všech byl Kislitsyn překvapivě vstřícný a sdílel řadu informací – proč, to už nevíme.

Potvrdil: Jevgenij stál za útoky na Dropbox a Formspring, stále měl přístup a obchodoval s daty.

A jak to celé skončilo?

V roce 2016 se na fóru objevil další balíček z LinkedInu – tentokrát s 117 miliony hesel. Mnohá z nich se podařilo prolomit. Výsledek?

TOP 5 nejpoužívanějších hesel na LinkedInu:

  1. 123456 (700 000 uživatelů!)
  2. linkedin
  3. 123456789
  4. 12345678
  5. 111111

Jeden velký facepalm. 🤦🏼‍♂️

A co z toho vyplývá?

  • Lidé stále používají ty nejhloupější hesla.
  • Používají je na více službách.
  • Někdy dokonce stejná hesla i v práci.

Zatčení Jevgenije Nikulina v Praze

Listopad 2016. FBI dostává tip: Jevgenij Nikulin byl spatřen v Praze. Okamžitě kontaktují českou policii a posílají na něj mezinárodní zatykač. A tak ho česká policie vystopuje – v jedné restauraci v Praze 2, kde právě obědvá se svou přítelkyní.

Zatčení probíhá bez odporu. Na videu je vidět, že je v šoku – vůbec netuší, co se děje. Jeho právníci následující dva roky bojují, aby nebyl vydán do USA. Marně.

Česká vláda nakonec souhlasí s vydáním a v USA je Nikulin obviněn z 9 trestných činů – od počítačového vniknutí, přes krádeže identity, až po spiknutí. Poškozenými stranami jsou: LinkedIn, Dropbox a Formspring.

Soudní proces: všechno ven

Nikulin vinu odmítá. Trvá na své nevině, a tak musí případ k soudu. Což je z pohledu veřejnosti výhra – díky tomu vyplulo na povrch spoustu detailů: výpovědi zaměstnanců Dropboxu, výslechy agentů FBI, důkazy od tajné služby.

Nikulin nemluvil anglicky a pobyt ve vazbě nesnášel nejlépe. Snažil se u soudu domoci aspoň přístupu ke Game Boyi nebo PSP. Při slyšeních měl překladatele a neustále opakoval, že nic neudělal.

Jenže důkazů bylo víc než dost. Porota ho uznala vinným ve všech bodech obžaloby. Výsledek?

  • 7 let vězení,
  • povinnost uhradit škodu 1,7 milionu dolarů,
  • a ztráta luxusního života, kterým se do té doby rád chlubil na sociálních sítích.

Navíc FBI při jiném zásahu zatkla dalšího hackera. A na jeho notebooku našli e-maily a zprávy, kde si s Nikulinem vyměňovali návody, chválili se úspěchy a navzájem si radili. Poslední hřebíček do rakve.

Poučení na závěr

Takže, co si z toho odnést?

1. VPN přístup z Ruska do firmy v Kalifornii?

Tohle měl být okamžitý poplach. V roce 2012 to technologie ještě moc neuměla. Dnes už existuje spousta nástrojů, které na podezřelá připojení umí upozornit.

2. Každý zaměstnanec by měl vědět, jak pracovat s hesly

Nezáleží, jestli jste ajťák, účetní nebo právník. Základy bezpečnosti by měly být povinná výbava. A IT lidé by měli jít příkladem. Ne opakem.

3. Stejné heslo do osobních i pracovních účtů?

To je prostě neodpustitelný přešlap. Jedno prolomené heslo = klíč k celé firmě.

4. Domácí webserver jako zadní vrátka

Jestli máte doma pokusný webserver, zabezpečte ho. Lepší ale bude, když osobní stránky dáte na sdílený hosting. A že by pomohla ochrana typu Fail2Ban? Možná by Nikulin ještě dneska zkoušel brute-force.

5. Logy nejsou jen pro paranoiky

Bez logování by se nikdy nepřišlo na to, jak útok proběhl, kdo za ním stojí a co všechno se stalo. A hlavně: logy často tvoří hlavní důkazní materiál u soudu. Nechte si je dostatečně dlouho, ať máte čím argumentovat.

A co vy?

Překvapilo vás, jak málo stačí k masivnímu útoku na globální firmy?

Snad vás tenhle příběh přesvědčil, že správce hesel není zbytečnost, ale absolutní nutnost.

A že jeden špatně zabezpečený blog, jedno jednoduché heslo, jeden uživatel bez 2FA, může spustit řetězec událostí, který zacloumá se světem velkých firem.

Pošlete tenhle článek kolegům. Zkuste se zamyslet, jestli i u vás ve firmě necháváte zadní vrátka otevřená. Protože někdy opravdu stačí jen trocha vychytralosti, trocha lenosti… a je z toho bezpečnostní incident za miliony.

Zůstaňte s námi v kontaktu

Jednou za měsíc posíláme souhrn novinek. Nemusíte se bát, spamovat vás nebudeme a odhlásit se můžete kdykoliv...

Karel Dytrych
Tým Váš Hosting
Vyzkoušejte náš trial na týden zdarma

Garance 14denní záruky vrácení peněz

Vyzkoušejte server na týden zdarma

Vyzkoušet server