Nedavna kompromitacija korisničkih podataka uznemirila je programere
nedavno znam objavljene informacije od strane programera otvorenog medijskog centra kodi u kojem upozoriti korisnike o nedavnom haku na forumu, Pastebin servis i wiki stranica projekta (forum.kodi.tv, paste.kodi.tv i kodi.wiki).
Programeri saznao za hak nakon što je baza korisnika stavljena na prodaju sa Kodi foruma. Revizija je pokazala da je infrastruktura projekta zaista ugrožena, a posljednji tragovi napadača zabilježeni su 16. i 21. februara.
U posljednja 24 sata saznali smo da se na internetskim forumima oglašava za prodaju softvera Kodi User Forum (MyBB). Ovaj post potvrđuje da je došlo do kršenja.
MyBB administrativni dnevnici pokazuju da je račun pouzdanog, ali trenutno neaktivnog člana tima administracije foruma korišten za pristup web-baziranoj MyBB administrativnoj konzoli dva puta: 16. februara i ponovo 21. februara. Nalog je korišten za kreiranje sigurnosnih kopija baze podataka koje su kasnije preuzete i izbrisane. Također je preuzeo postojeće noćne pune sigurnosne kopije baze podataka. Vlasnik naloga je potvrdio da nije pristupio administratorskoj konzoli da bi izvršio ove radnje.
Što se tiče slučaja, vrijedno je napomenuti da je posebno, dnevnik foruma sadržavao je informacije o prijavi na administrativni web interfejs od jednog od neaktivnih administratora.
Na ovaj način, imajući pristupio web interfejsu kontrole, napadači su kreirali i preuzeli rezervnu kopiju baze podataka, kao i preuzeti pune sigurnosne kopije noćno dostupne baze podataka.
Vlasnik naloga je potvrdio da ovih dana nije ništa preduzeo sa forumom (nije precizirano kako su napadači uspeli da saznaju administratorsku lozinku). Podaci koje su učitali napadači uključivali su kompletnu arhivu svih javnih i privatnih diskusija, privatnih poruka i korisničku bazu (imena, e-mailovi i hešovi lozinki).
Iako MyBB pohranjuje lozinke u šifriranom formatu, moramo pretpostaviti da su sve lozinke ugrožene. Ovo zahtijeva radnje tima i korisnika foruma:
Upravljački tim istražuje najbolji način za izvođenje globalnog resetovanja lozinke i najbolji način da se osigura integritet hosta servera i povezanog softvera. Forumski server je isključen dok se ova aktivnost završava. Ovo će također utjecati na Kodi wiki i pastebin stranice. Trenutno ne postoji procena vremena za povratak forumskog servera na mrežu; naš pristup je da budemo temeljiti, a ne brzi.
Korisnici moraju pretpostaviti da su njihove vjerodajnice Kodi foruma i da su svi privatni podaci koji se dijele s drugim korisnicima putem sistema za razmjenu poruka od korisnika do korisnika ugroženi. Ako ste koristili isto korisničko ime i lozinku na bilo kojoj drugoj stranici, morate slijediti proceduru resetovanja/promjene lozinke za tu stranicu. Kada se Kodi forum vrati na mrežu, pružit ćemo upute o tome kako dovršiti resetiranje vaše lozinke za Kodi forum.
Tokom proučavanja životne sredine sistema, nije bilo tragova kompromitovanja OS niti radnje koje prevazilaze administrativni web interfejs foruma. Kako god, server foruma je isključen sa mreže i proces ponovne instalacije je započeo softvera koji se u njemu koristi. Pastebin i Wiki servisi su organizovani na istom serveru, što se može smatrati potencijalno kompromitovanim.
Posle da vratite softver, planirano je organizovanje promjene korisničkih lozinki i slanje pojedinačnih obavještenja posvećenosti (na forumu je registrovano više od 400.000 korisnika). Korisnicima Kodi foruma koji su koristili istu lozinku na različitim stranicama savjetujemo da je hitno promijene.
Očekuje se da će oporavak trajati nekoliko dana, budući da je Kodi koristio modificirani fork jedne od prethodnih verzija MyBB motora (1.8.27) i njegova sinhronizacija sa trenutnom verzijom (1.8.33) će potrajati.
Wiki stranica će biti premještena na drugi server i ažurirana na najnoviju verziju MediaWiki engine-a. Pastebin servis će se također prenijeti na drugi server.
Konačno ako ste zainteresirani da saznate više o tome, detalje možete provjeriti u sljedeći link.