Форум проекта openSUSE подвергся взлому (дополнено)

7 января 2014 года

Wikinews-logo-ru.svg

Совершён дефейс форума проекта openSUSE - forums.opensuse.org. В настоящее время работа сайта уже восстановлена. Детальной информации об используемых методах взлома не приводится, сообщается только, что администраторы форума выявили уязвимость в SEO-плагине и прекратили его использование (не исключено, что данная уязвимость не является причиной инцидента). Форум насчитывает около 79500 зарегистрированных аккаунтов. Получили ли злоумышленники доступ к базе пользователей не сообщается (вход на форум openSUSE производится через единый центр авторизации).

Работа форума forums.opensuse.org обеспечивается через проприетарный движок vBulletin, в котором недавно была выявлена 0-day уязвимость, которой злоумышленники успели воспользоваться для взлома форумов нескольких известных проектов. На сайте forums.opensuse.org была использована устаревшая версия vBulletin 4.2.1, в которой содержится неисправленная уязвимость, позволяющая осуществить доступ к панели управления форумом с правами администратора.

Дополнение: Представители проекта openSUSE сообщили, что взлом был осуществлён через эксплуатацию уязвимости в движке форума. Злоумышленники получили доступ к БД форума, в том числе к данным пользовательских профилей. Так как в openSUSE используется отдельная централизованная система аутентификации пароли пользователей не пострадали, но такие персональные данные, как email, попали в руки злоумышленников. Те данные, которые злоумышленники продемонстрировали как хэши паролей, на деле являются просто случайными значениями, не используемыми и созданными в качестве заглушки для заполнения поля в БД.

 

ИсточникиПравить


Эта статья содержит материалы из статьи «Форум проекта openSUSE подвергся взлому (дополнено)», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Форум проекта openSUSE подвергся взлому (дополнено)