Недавній компромет даних користувачів насторожив розробників
нещодавно я знаю оприлюднена інформація розробниками відкритого медіа-центру Коди в якому попередити користувачів про недавній злом форуму, сервіс Pastebin і вікі-сайт проекту (forum.kodi.tv , paste.kodi.tv і kodi.wiki ).
Розробники дізнався про злом після того, як база користувачів була виставлена на продаж з форуму Kodi. Аудит показав, що інфраструктура проекту дійсно була зламана, а останні сліди активності зловмисників були зафіксовані 16 і 21 лютого.
За останні 24 години нам стало відомо про дамп програмного забезпечення Kodi User Forum (MyBB), яке рекламується на продаж на форумах в Інтернеті. Ця публікація підтверджує факт порушення.
Журнали адміністрування MyBB показують, що обліковий запис довіреного, але наразі неактивного члена команди адміністрування форуму використовувався для доступу до веб-консолі адміністрування MyBB двічі: 16 лютого та знову 21 лютого. Лютого. Обліковий запис використовувався для створення резервних копій бази даних, які пізніше були завантажені та видалені. Він також завантажував існуючі нічні повні резервні копії бази даних. Власник облікового запису підтвердив, що він не мав доступу до консолі адміністратора для виконання цих дій.
Стосовно справи варто зазначити, що зокрема, журнал форуму містив інформацію про вхід до адміністративного веб-інтерфейсу від одного з неактивних адміністраторів.
Таким чином, маючи отримав доступ до веб-інтерфейсу контролю, зловмисники створили та завантажили резервну копію бази даних, а також завантажив повні резервні копії доступної щоночі бази даних.
Власник облікового запису підтвердив, що в ці дні не робив жодних дій з форумом (як зловмисникам вдалося дізнатися пароль адміністратора, не уточнюється). Дані, завантажені зловмисниками, включали повний архів усіх публічних і приватних обговорень, особистих повідомлень і базу користувачів (імена, електронні адреси та хеші паролів).
Хоча MyBB зберігає паролі в зашифрованому форматі, ми повинні припустити, що всі паролі скомпрометовані. Це вимагає дій від команди та користувачів форуму:
Команда менеджерів досліджує найкращий спосіб виконати глобальне скидання пароля та найкращий спосіб забезпечити цілісність хосту сервера та пов’язаного програмного забезпечення. Сервер форуму було вимкнено, поки ця діяльність завершується. Це також вплине на вікі Kodi та сайти pastebin. Наразі немає приблизного часу, коли сервер форуму відновить роботу; наш підхід полягає в тому, щоб бути ретельним, а не швидким.
Користувачі повинні взяти на себе свої облікові дані на форумі Kodi, а будь-які особисті дані, які надаються іншим користувачам через систему обміну повідомленнями між користувачами, скомпрометовані. Якщо ви використовували те саме ім’я користувача та пароль на будь-якому іншому сайті, ви повинні виконати процедуру скидання/зміни пароля для цього сайту. Щойно форум Kodi відновиться, ми надамо інструкції, як завершити скидання пароля на форумі Kodi.
Під час дослідження середовища системи, слідів зламу ОС не було ані дії, які виходили за межі адміністративного веб-інтерфейсу форуму. однак, сервер форуму було відключено від мережі та розпочато процес перевстановлення програмного забезпечення, яке в ньому використовується. Сервіси Pastebin і Wiki були організовані на одному сервері, який можна вважати потенційно скомпрометованим.
Після для відновлення програмного забезпечення, планується організувати зміну паролів користувачів та розсилку індивідуальних повідомлень прихильності (на форумі зареєстровано понад 400.000 XNUMX користувачів). Користувачам форуму Kodi, які використовували один і той же пароль на різних сайтах, рекомендується терміново змінити його.
Очікується, що відновлення займе кілька днів, Оскільки Kodi використовував модифікований форк однієї з попередніх версій движка MyBB (1.8.27), то його синхронізація з поточною версією (1.8.33) займе час.
Вікі-сайт буде перенесено на інший сервер і оновлено до останньої версії механізму MediaWiki. Сервіс Pastebin також буде перенесено на інший сервер.
В кінці кінців якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі в за наступним посиланням.