Die jüngste Kompromittierung von Benutzerdaten hat Entwickler alarmiert
vor kurzem weiß ich veröffentlichte Informationen von den Entwicklern des Open Media Centers Kodi in welchem Benutzer vor einem kürzlichen Forum-Hack warnen, den Pastebin-Dienst und die Wiki-Site des Projekts (forum.kodi.tv , paste.kodi.tv und kodi.wiki ).
Entwickler von dem Hack erfuhr, nachdem die Benutzerbasis zum Verkauf angeboten wurde aus dem Kodi-Forum. Die Prüfung ergab, dass die Infrastruktur des Projekts tatsächlich kompromittiert war, und die letzten Spuren von Angreiferaktivitäten wurden am 16. und 21. Februar aufgezeichnet.
In den letzten 24 Stunden sind wir auf einen Dump der Software Kodi User Forum (MyBB) aufmerksam geworden, die in Internetforen zum Verkauf angeboten wird. Dieser Beitrag bestätigt, dass ein Verstoß aufgetreten ist.
MyBB-Administrationsprotokolle zeigen, dass das Konto eines vertrauenswürdigen, aber derzeit inaktiven Mitglieds des Forum-Administrationsteams zweimal für den Zugriff auf die webbasierte MyBB-Administrationskonsole verwendet wurde: am 16. Februar und erneut am 21. Februar. Februar. Das Konto wurde verwendet, um Datenbanksicherungen zu erstellen, die später heruntergeladen und gelöscht wurden. Es hat auch vorhandene nächtliche vollständige Backups der Datenbank heruntergeladen. Der Kontoinhaber hat bestätigt, dass er nicht auf die Admin-Konsole zugegriffen hat, um diese Aktionen auszuführen.
In Bezug auf den Fall ist insbesondere zu erwähnen, dass Das Forumsprotokoll enthielt Informationen über die Anmeldung an der administrativen Weboberfläche von einem der inaktiven Administratoren.
Auf diese Weise haben auf die Weboberfläche zugegriffen der Kontrolle, Die Angreifer erstellten und luden eine Sicherungskopie der Datenbank herunter, sowie die vollständigen Backups der nächtlich verfügbaren Datenbank heruntergeladen.
Der Besitzer des Kontos bestätigte, dass er in diesen Tagen nichts mit dem Forum unternommen hat (es ist nicht angegeben, wie die Angreifer es geschafft haben, das Administrator-Passwort herauszufinden). Die von den Angreifern hochgeladenen Daten umfassten ein vollständiges Archiv aller öffentlichen und privaten Diskussionen, privaten Nachrichten und eine Benutzerbasis (Namen, E-Mails und Passwort-Hashes).
Obwohl MyBB Passwörter in einem verschlüsselten Format speichert, müssen wir davon ausgehen, dass alle Passwörter kompromittiert sind. Dies erfordert Aktionen vom Team und den Forumbenutzern:
Das Managementteam untersucht den besten Weg, um ein globales Passwort zurückzusetzen und den besten Weg, um die Integrität des Serverhosts und der zugehörigen Software sicherzustellen. Der Forumserver wurde während dieser Aktivität offline geschaltet. Dies wirkt sich auch auf die Wiki- und Pastebin-Sites von Kodi aus. Es gibt derzeit keine Schätzung, wann der Forumserver wieder online gehen wird; Unser Ansatz ist es, gründlich zu sein, nicht schnell.
Benutzer müssen davon ausgehen, dass ihre Kodi-Forum-Anmeldeinformationen vorhanden sind, und alle privaten Daten, die über das Benutzer-zu-Benutzer-Nachrichtensystem mit anderen Benutzern geteilt werden, sind kompromittiert. Wenn Sie denselben Benutzernamen und dasselbe Passwort auf einer anderen Website verwendet haben, müssen Sie das Verfahren zum Zurücksetzen/Ändern des Passworts für diese Website befolgen. Sobald das Kodi-Forum wieder online ist, werden wir Ihnen Anweisungen geben, wie Sie Ihr Passwort für das Kodi-Forum zurücksetzen können.
Während des Studiums der Umwelt vom System, Es gab keine Spuren von OS-Kompromittierung noch Aktionen, die über die administrative Weboberfläche des Forums hinausgingen. Jedoch, der Forumserver wurde vom Netzwerk getrennt und die Neuinstallation hat begonnen der darin verwendeten Software. Die Dienste Pastebin und Wiki wurden auf demselben Server organisiert, der als potenziell kompromittiert angesehen werden kann.
Nach um die Software wiederherzustellen, Es ist geplant, die Änderung von Benutzerpasswörtern und den Versand von individuellen Mitteilungen zu organisieren Engagement (mehr als 400.000 User waren im Forum registriert). Benutzern des Kodi-Forums, die dasselbe Passwort auf verschiedenen Seiten verwendet haben, wird empfohlen, es dringend zu ändern.
Die Wiederherstellung wird voraussichtlich mehrere Tage dauern, da Kodi einen modifizierten Fork einer der vorherigen Versionen der MyBB-Engine (1.8.27) verwendet und seine Synchronisierung mit der aktuellen Version (1.8.33) einige Zeit in Anspruch nehmen wird.
Die Wiki-Site wird auf einen anderen Server verschoben und auf die neueste Version der MediaWiki-Engine aktualisiert. Auch der Pastebin-Dienst wird auf einen anderen Server verlegt.
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details einchecken den folgenden Link.