Администраторы сообщества Linux.org (не путать с Linux.com (https://www.opennet.ru/opennews/art.shtml?num=31726)) сообщили (https://www.linux.org/threads/linux-org-dns-hijack-incident..../) об инциденте, в результате которого злоумышленники подменили содержимое сайта. Атака была совершена путём перенаправления трафика на другой хост через изменение данных в DNS.
По словам (https://www.reddit.com/r/linux/comments/a3vy3n/linuxorg_goin.../) администратора ресурса, злоумышленники получили доступ к учётной записи владельца сайта у регистратора Network Solutions. Судя по всему, для домена Linux.org через сервис Whois отображались полные данные о владельце и атакующие воспользовались существующими базами взломанных аккаунтов смогли получить доступ к почтовому ящику в сервисе Yahoo, использовав ранее захваченную в результате
взлома Yahoo (https://www.opennet.ru/opennews/art.shtml?num=47321) базу с хэшами паролей. После этого при помощи функции восстановления забытого пароля атакующие смогли поменять пароль к учётной записи Network Solutions, к которой был привязан взломанный почтовый ящик в Yahoo. Помехой могло стать применение двухфакторной аутентификации, но она не была активирована для дополнительной защиты аккаунта.
Инфраструктура проекта и база пользователей Linux.org не пострадали - атакующие не получили доступа к серверам. Атака ограничилась только вандализмом с переключением на другой сервер в DNS. Атакующие уже опубликовали (https://twitter.com/kitlol5/status/1070845707756625920) скриншот интерфейса Network Solutions, из которого видно, что кроме linux.org был получен доступ к параметрам DNS сайтов linuxonline.com, linuxonline.net, linuxonline.org и linuxhq.com, которые не использовались для каких-либо проектов.
Предполагается, что причиной взлома стало произошедшая (https://www.linux.org/threads/linux-org-under-new-management.1/) в прошлом году смена руководства linux.org с заменой сайта, удалением ранее размещённого контента и перерегистрацией учётных записей пользователей форума. Вначале атакующие разместили (https://web.archive.org/web/20181206232921/https://www.linux.../) на подменённом сайте нецензурный текст и пошлое изображение с намёком на протест против принятого (https://www.opennet.ru/opennews/art.shtml?num=49284) разработчиками ядра Linux кодекса поведения (Code of Conduct (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...)). Затем на странице были размещены оскорбления и полные персональные данные (включая домашний адрес) Coraline Ada Ehmke (https://twitter.com/CoralineAda), трансгендерного разработчика и создателя инициативы Contributor Covenant (https://www.contributor-covenant.org/), на основе которой был сформирован кодекс разработчиков ядра Linux. Сайт оставался перенаправлен в течение трёх с половиной часов.
URL: https://www.theregister.co.uk/2018/12/07/linuxorg_hacked/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49744