reklama

Oficjalne forum Ubuntu padło ofiarą SQL Injection. Wyciekły dane 2 mln użytkowników

Strona główna Aktualności

O autorze

Hodowca maszyn wirtualnych i psów, poza tym stary linuksiarz, bonvivant i śmieszek. W 2012 roku napisał na DP o algorytmie haszowania Keccak i wciąż pamięta, jak on działa.

Jeśli mieliście konto na oficjalnym forum Ubuntu, to spodziewajcie się fali spamu. Hakerzy wykorzystali znaną lukę w oprogramowaniu forum, wykradając z niego prywatne dane ponad 2 mln użytkowników – są tam loginy, adresy IP i adresy poczty elektronicznej, a także kryptograficzne skróty używanych haseł.

Winą za włamanie należy obarczyć administratorów Canonicala. Wykorzystywali znane oprogramowanie forumowe vBulletin wraz z niezaktualizowaną wersją wtyczki Forum Runner, podatnej na znany publicznie atak SQL Injection. Napastnik wykorzystał to, by pobrać z bazy część tabeli user, zawierającej dane związane z logowaniem.

Canonical oficjalnie przyznał się do sytuacji, informując, że podjęto szeroko zakrojone działania, aby taka sytuacja już się nie powtórzyła. Na czysto postawiono serwery, zaktualizowano w pełni oprogramowanie forumowe, zresetowano hasła systemowe i administracyjne oraz zastosowano dodatkowe wzmocnienia bezpieczeństwa. Na serwerach działa teraz ModSecurity, zapora sieciowa dla aplikacji webowych, a także aktywny monitoring vBulletinu.

Co to oznacza dla użytkowników forum? Przede wszystkim możliwość wykorzystania do różnych celów ich adresów e-mailowych. O hasła nie należy się martwić – napastnik pobrał wraz z tabelą ich kryptograficzne skróty, które były posolone – ale nawet gdyby udało mu się je odwrócić, to niewielka będzie z tego korzyść. Logowanie do forum Ubuntu przebiegało bowiem za pomocą mechanizmu Ubuntu Single Sign On, w którym jako hasło wykorzystywany jest jednorazowy losowy ciąg znaków.

© dobreprogramy
reklama

Komentarze

reklama