Oficjalne forum Ubuntu padło ofiarą SQL Injection. Wyciekły dane 2 mln użytkowników
Jeśli mieliście konto na oficjalnym forum Ubuntu, tospodziewajcie się fali spamu. Hakerzy wykorzystali znaną lukę woprogramowaniu forum, wykradając z niego prywatne dane ponad 2 mlnużytkowników – są tam loginy, adresy IP i adresy pocztyelektronicznej, a także kryptograficzne skróty używanych haseł.
Winą za włamanie należy obarczyć administratorów Canonicala.Wykorzystywali znane oprogramowanie forumowe vBulletin wraz zniezaktualizowaną wersją wtyczki Forum Runner, podatnej na znanypublicznie atak SQL Injection. Napastnik wykorzystał to, by pobraćz bazy część tabeli *user,*zawierającejdane związane z logowaniem.
Canonicaloficjalnie przyznałsię do sytuacji, informując, że podjęto szeroko zakrojonedziałania, aby taka sytuacja już się nie powtórzyła. Na czystopostawiono serwery, zaktualizowano w pełni oprogramowanie forumowe,zresetowano hasła systemowe i administracyjne oraz zastosowanododatkowe wzmocnienia bezpieczeństwa. Na serwerach działa terazModSecurity, zapora sieciowa dla aplikacji webowych, a także aktywnymonitoring vBulletinu.
Coto oznacza dla użytkowników forum? Przede wszystkim możliwośćwykorzystania do różnych celów ich adresów e-mailowych. O hasłanie należy się martwić – napastnik pobrał wraz z tabelą ichkryptograficzne skróty, które były posolone – ale nawet gdybyudało mu się je odwrócić, to niewielka będzie z tego korzyść.Logowanie do forum Ubuntu przebiegało bowiem za pomocą mechanizmuUbuntu Single Sign On, w którym jako hasło wykorzystywany jestjednorazowy losowy ciąg znaków.
