Jak poinformowali w oficjalnej notce pracownicy firmy ESET, informacja ta została przekazana przez firmę trzecią, która zajmuje się obsługą forum dyskusyjnego. Może to więc stawiać sprawę w nieco innym świetle, bo wygląda na to, że nie oni bezpośrednio byli odpowiedzialni za bezpieczeństwo forum, niemniej i tak wygląda nieco kiepsko. Wiadomo, że włamywacze weszli w posiadanie zarówno loginów jak i hashy haseł użytkowników zarejestrowanych na forum. W tym wypadku skala jest jednak o wiele mniejsza: o ile na forum AVASTa zarejestrowane było ponad 400 tysięcy kont, o tyle ESET to znacznie mniej popularna platforma z „tylko” 2700 użytkownikami. Producent zastrzega, że żadne poufne dane, w tym i dane np. kart kredytowych nie zostały przechwycone.
Firma poinformowała również, że posiada od wspomnianego wcześniej dostawcy szczegóły ataku i uruchomiła już śledztwo mające wyjaśnić jego przyczyny. Równocześnie użytkownicy forum są proszeni o zmianę swoich haseł, co mogą wykonać poprzez edycję profilu po zalogowaniu. Co prawda przechwycone zostały skróty (hashe), a nie same hasła, niemniej liczne badania pokazują, że wiele osób używa haseł zdecydowanie zbyt słabych, w wypadku których znalezienie kolizji hasha jest o wiele łatwiejsze. Producent w tym wypadku kieruje na specjalną stronę, gdzie znajdziemy wskazówki, jak tworzyć silne hasła.
Czy powodem ataku mogła być w obu wypadkach ta sama podatność? Jest to wątpliwe, bo oba fora korzystają z innych silników (AVAST z Simple Machines Forum, ESET z Invision Power Board). Czynnikiem łączącym mógłby być system Tapatalk do obsługi forów za pomocą urządzeń mobilnych – w ostatnim czasie jego autorzy wydali ważne aktualizacje bezpieczeństwa związane z luką Heartbleed. Nic nie wskazuje jednak na to, aby którekolwiek z tych forów korzystało z tego dodatku. Może to być więc sprawka innych dodatków, lub też konfiguracji samego serwera, na którym działało forum.
Z lekcji tej można wyciągnąć kilka wniosków. Przede wszystkim, nawet najlepsze i najbardziej znane firmy tworzące oprogramowanie zabezpieczające mogą paść ofiarą ataku. Powierzanie im swoich danych i obdarzanie pełnym zaufaniem nie jest mądrym rozwiązaniem. Podobnie jest z używaniem wszędzie tych samych haseł: zdecydowanie to odradzamy i jeżeli coś takiego stosowaliście, użyjcie innych rozwiązań jak chociażby LastPass czy KeePass. My tymczasem czekamy… czy właśnie przeprowadzany jest atak na aplikacje webowe kolejnego producenta?