Det nylige kompromisset med brukerdata har skremt utviklere
nylig vet jeg utgitt informasjon av utviklerne av det åpne mediesenteret Kodi der advare brukere om et nylig forumhack, Pastebin-tjenesten og prosjektets wikiside (forum.kodi.tv , paste.kodi.tv og kodi.wiki ).
Utviklere fant ut om hacket etter at brukerbasen ble lagt ut for salg fra Kodi-forumet. Tilsynet viste at prosjektets infrastruktur faktisk var kompromittert, og de siste sporene av angriperaktivitet ble registrert 16. og 21. februar.
I løpet av de siste 24 timene ble vi oppmerksomme på en dump av Kodi User Forum (MyBB)-programvaren som ble annonsert for salg på internettfora. Dette innlegget bekrefter at et brudd har skjedd.
MyBB-administrasjonslogger viser at kontoen til et betrodd, men for øyeblikket inaktivt medlem av forumadministrasjonsteamet ble brukt til å få tilgang til den nettbaserte MyBB-administrasjonskonsollen to ganger: 16. februar og igjen 21. februar. Kontoen ble brukt til å lage databasesikkerhetskopier som senere ble lastet ned og slettet. Den lastet også ned eksisterende nattlige sikkerhetskopier av databasen. Kontoeieren har bekreftet at de ikke hadde tilgang til administrasjonskonsollen for å utføre disse handlingene.
Når det gjelder saken, er det verdt å nevne at spesielt, forumloggen inneholdt informasjon om påloggingen til det administrative webgrensesnittet fra en av de inaktive administratorene.
På denne måten har fikk tilgang til nettgrensesnittet av kontroll, angriperne opprettet og lastet ned en sikkerhetskopi av databasen, samt lastet ned de fullstendige sikkerhetskopiene av den nattlige tilgjengelige databasen.
Eieren av kontoen bekreftet at han ikke foretok noen handling med forumet i disse dager (det er ikke spesifisert hvordan angriperne klarte å finne ut administratorpassordet). Dataene lastet opp av angriperne inkluderte et komplett arkiv med alle offentlige og private diskusjoner, private meldinger og en brukerbase (navn, e-post og passord-hash).
Selv om MyBB lagrer passord i et kryptert format, må vi anta at alle passord er kompromittert. Dette krever handlinger fra teamet og forumbrukerne:
Lederteamet undersøker den beste måten å utføre en global tilbakestilling av passord og den beste måten å sikre integriteten til serververten og tilhørende programvare. Forumserveren har blitt koblet fra mens denne aktiviteten fullføres. Dette vil også påvirke Kodi-wiki- og pastebin-nettstedene. Det er foreløpig ingen tidsestimat for forumserveren for å komme tilbake online; vår tilnærming er å være grundig, ikke rask.
Brukere må anta at deres Kodi-forum-legitimasjon og eventuelle private data som deles med andre brukere gjennom bruker-til-bruker meldingssystemet er kompromittert. Hvis du har brukt samme brukernavn og passord på et annet nettsted, må du følge prosedyren for tilbakestilling/endre passord for det nettstedet. Når Kodi-forumet er tilbake på nettet, vil vi gi instruksjoner om hvordan du fullfører en tilbakestilling av Kodi-forumpassordet ditt.
Under studiet av miljøet av systemet, det var ingen spor av OS-kompromittering heller ikke handlinger som gikk utover det administrative webgrensesnittet til forumet. Derimot, forumserveren har blitt koblet fra nettverket og reinstalleringsprosessen har startet av programvaren som brukes i den. Pastebin- og Wiki-tjenestene ble organisert på samme server, som kan betraktes som potensielt kompromittert.
deretter for å gjenopprette programvaren, det er planlagt å organisere endring av brukerpassord og sending av individuelle meldinger av engasjement (mer enn 400.000 XNUMX brukere var registrert i forumet). Kodi-forumbrukere som har brukt det samme passordet på forskjellige nettsteder, anbefales å endre det snarest.
Utvinningen forventes å ta flere dager, siden Kodi brukte en modifisert gaffel fra en av de tidligere versjonene av MyBB-motoren (1.8.27) og synkroniseringen med den nåværende versjonen (1.8.33) vil ta tid.
Wiki-siden vil bli flyttet til en annen server og oppdatert til den nyeste versjonen av MediaWiki-motoren. Pastebin-tjenesten vil også bli overført til en annen server.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene i følgende lenke.