OpenNews: Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей

05.02.2009 15:25 Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей

Сообщается о взломе инфраструктуры проекта phpBB, сайт которого остается заблокированным с воскресенья. Используя брешь в безопасности модуля PHPList злоумышленникам удалось перехватить базу в 400 тысяч аккаунтов пользователей форума. Атаковавшим удалось восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликованы в сети, вместе адресами электронной почты и персональными данными пользователей.

Команда разработчиков сообщает, что в самом коде форума phpBB неисправленные уязвимости отсутствуют и проблема касается только приложения PHPList, используемого в проекте для работы с почтовой рассылкой.

Ссылки к новости:

исправить +/–

Тип: Проблемы безопасности

Ключевые слова: phpbb, (найти похожие документы)

При перепечатке указание ссылки на opennet.ru обязательно

Реклама

Обсуждение

Ajax режим | Показать все | RSS

1.3, Аноним, 15:44, 05/02/2009 [ответить] [смотреть все]	+/–
Мдя Просто удивительно, что за столько лет авторы phpBB так и не научились прог... весь текст скрыт [показать]

2.5, аноним, 16:02, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
да уж и до сих пор защищают пароли MD5... весь текст скрыт [показать] [показать ветку]

3.37, User294, 19:33, 05/02/2009 [ответить] [смотреть все]	+/–
А вы так вот запросто научились из md5 пароли восстанавливать Нет, md5-ому конеч... весь текст скрыт [показать]

4.50, parad, 22:06, 05/02/2009 [ответить] [смотреть все]	+/–
дина пароля не важна - тк длина хеша фиксирована востановить можно и не тот пар... весь текст скрыт [показать]

5.58, User294, 23:43, 05/02/2009 [ответить] [смотреть все]	+/–
В теории это возможно, при том - с любым алгоритмом хэшироавния т е если найдет... весь текст скрыт [показать]

6.68, simonvu.spb.ru, 10:08, 06/02/2009 [ответить] [смотреть все]	+/–
на практике никто не вычисляет Есть база данных в интернете с коллекцие md5 хэш... весь текст скрыт [показать]

7.94, User294, 13:33, 07/02/2009 [ответить] [смотреть все]	+/–
Ну, это скорее всего просто словарная атака, помогает только против простых паро... весь текст скрыт [показать]

8.114, kost BebiX, 14:02, 09/02/2009 [ответить] [смотреть все]	+/–
Поэтому нормальные люди делают перед md5 примерно такое pass фыва pass ... весь текст скрыт [показать]

9.122, roveek, 11:43, 11/02/2009 [ответить] [смотреть все]	+/–
Не надо рассчитывать на то, что код не достанут Просто комбинировать широкодо... весь текст скрыт [показать]

10.125, User294, 17:49, 18/02/2009 [ответить] [смотреть все]	+/–
Кстати вполне себе вариант Единственное что мне не очень нравится идея раздувать... весь текст скрыт [показать]

6.69, simonvu.spb.ru, 10:10, 06/02/2009 [ответить] [смотреть все]	+/–
а md5 можно реализовать на ПЛИСе Тогда эффективность перебора в тысячи раз увел... весь текст скрыт [показать]

7.72, Щекн Итрч, 11:17, 06/02/2009 [ответить] [смотреть все]	+/–
У меня уязвимая версия PHPList, ниуа этот эксплойт против установки из коробк... весь текст скрыт [показать]

7.95, User294, 14:15, 07/02/2009 [ответить] [смотреть все]	+/–
Хоть на кластере из cell, 2 128 значений в любом случае заколебетесь перебирать ... весь текст скрыт [показать]

3.38, Аноним, 19:39, 05/02/2009 [ответить] [смотреть все]	+/–
Ну наверное, и ежу понятно, что не колизии MD5 были задействованны, а радужные б... весь текст скрыт [показать]

4.66, Kaiser, 06:37, 06/02/2009 [ответить] [смотреть все]	+/–
PHP - не лучший язык, но не все так плохо Для взаимодействия с базами данных ис... весь текст скрыт [показать]

5.100, Аноним, 20:44, 07/02/2009 [ответить] [смотреть все]	+/–
А слабо по гуглю сделать запрос mediawiki уязвимость Если вы про википедию,... весь текст скрыт [показать]

5.104, Аноним, 17:52, 08/02/2009 [ответить] [смотреть все]	+/–
gt оверквотинг удален Ну вот взломали сайт Общественной палаты интересно скол... весь текст скрыт [показать]

6.105, Kaiser, 18:27, 08/02/2009 [ответить] [смотреть все]	+/–
В случае гос заказа так же во многих других случаях я не считаю бабло показате... весь текст скрыт [показать]

7.106, Аноним, 20:17, 08/02/2009 [ответить] [смотреть все]	+/–
А вот это уже интересно, покажите как оно дешевле, в смысле дешевых пхп-кодеров ... весь текст скрыт [показать]

8.108, Kaiser, 20:37, 08/02/2009 [ответить] [смотреть все]	+/–
Скорее не дешевые, а проще найти Уже есть наработки на php как свои, так и сто... весь текст скрыт [показать]

7.107, Я, 20:29, 08/02/2009 [ответить] [смотреть все]	+/–
Чой-то не верится про некоторые проекты , да и не говорят так веб-проект на py... весь текст скрыт [показать]

8.109, Kaiser, 20:38, 08/02/2009 [ответить] [смотреть все]	+/–
А почему не говорят Тем более, что не вебом единым ... весь текст скрыт [показать]

9.115, Аноним, 22:17, 09/02/2009 [ответить] [смотреть все]	+/–
Ну не cgi же вы использовали, а фреймворки уж больно разные, чтобы выделять язык... весь текст скрыт [показать]

6.111, ntimmy, 09:45, 09/02/2009 [ответить] [смотреть все]	+/–
gt оверквотинг удален Предположу по сайту писали студенты за степендию и зачет... весь текст скрыт [показать]

4.123, User294, 16:54, 18/02/2009 [ответить] [смотреть все]	+/–
Пруфлинк для третьей версии не затруднит На что-нибудь свежее и злое А то скольк... весь текст скрыт [показать]

2.9, RageLT, 16:10, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
Причём тут авторы phpBB Написано же phplist Да были времена когда phpbb была с... весь текст скрыт [показать] [показать ветку]

3.13, Аноним, 16:28, 05/02/2009 [ответить] [смотреть все]	+/–
Michiel Dethmers, автор PHPlist по совместительству является разработчиком PHPbb... весь текст скрыт [показать]

3.59, terr0rist, 23:49, 05/02/2009 [ответить] [смотреть все]	+/–
Хахаха, умные разработчики пхпбб без всякой проверки используют любой софт, кото... весь текст скрыт [показать]

2.24, User294, 17:29, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
А вы за слова ответить то сможете Покажите дырки в phpbb3 собственно который они... весь текст скрыт [показать] [показать ветку]

3.39, Аноним, 19:46, 05/02/2009 [ответить] [смотреть все]	+/–
А можно я за него отвечу Из избраного http milw0rm com exploits 7386 Из вч... весь текст скрыт [показать]

4.92, Oles, 12:57, 07/02/2009 [ответить] [смотреть все]	+/–
У тебя PHP PHPBB приравнивается в true, а вот это не просто дыра, а диагн... весь текст скрыт [показать]

5.98, Аноним, 19:57, 07/02/2009 [ответить] [смотреть все]	+/–
А какая разница пэхапэбиби это или джумла или еще что-нибудь на пэхапэ, дырявые... весь текст скрыт [показать]

6.126, User294, 18:18, 18/02/2009 [ответить] [смотреть все]	+/–
Вот для этих двух пруфлинки на чтонить серьезное плиз И не надо на левые сторонн... весь текст скрыт [показать]

4.124, User294, 17:31, 18/02/2009 [ответить] [смотреть все]	+/–
Это чо, оно требует какой-то левый мод пыхпббы В сад Или даже в зад Вы стоковый ... весь текст скрыт [показать]

3.60, terr0rist, 23:51, 05/02/2009 [ответить] [смотреть все]	+/–
Для начала обычно умные люди учатся на чужих ошибках читают маны и факи по безо... весь текст скрыт [показать]

3.70, Щекн Итрч, 11:04, 06/02/2009 [ответить] [смотреть все]	+/–
Зеродей - ведомо вам такое понятие У меня есть мой личный зеродей против о... весь текст скрыт [показать]

4.80, AntiDot, 16:06, 06/02/2009 [ответить] [смотреть все]	+/–
gt оверквотинг удален У нас есть такие приборы, но мы вам про них не раскажем... весь текст скрыт [показать]

2.91, Oles, 12:54, 07/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую пр... весь текст скрыт [показать] [показать ветку]

3.96, Аноним, 19:31, 07/02/2009 [ответить] [смотреть все]	+/–
Тут говорится, что PHP это сплошная дырка в безопасности ... весь текст скрыт [показать]

4.97, Oles, 19:41, 07/02/2009 [ответить] [смотреть все]	+/–
Молодца Так скоро индуские программеры превысят по IQ местных В этой новости д... весь текст скрыт [показать]

5.99, Аноним, 20:26, 07/02/2009 [ответить] [смотреть все]	+/–
Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только мы с ... весь текст скрыт [показать]

6.101, Oles, 21:12, 07/02/2009 [ответить] [смотреть все]	+/–
И Я могу сделать говно на любом языке, было бы желание ... весь текст скрыт [показать]

....нить скрыта, показать (41)

1.11, Аноним, 16:19, 05/02/2009 [ответить] [смотреть все]	+/–
Надеюсь тех уродов найдут и посадят... весь текст скрыт [показать]

2.12, wertik, 16:27, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
ЭЭ а вот этого не надо , благодаря этим уродам как вы говорите, они показывают с... весь текст скрыт [показать] [показать ветку]

3.14, Аноним, 16:31, 05/02/2009 [ответить] [смотреть все]	+/–
Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших польз... весь текст скрыт [показать]

4.16, wertik, 16:34, 05/02/2009 [ответить] [смотреть все]	+/–
Кто на что горазд Не вижу разницы ... весь текст скрыт [показать]

5.35, User294, 19:09, 05/02/2009 [ответить] [смотреть все]	+/–
Зато я вижу Порядочный хакер найдя дыру вообще-то сообщает админу и только потом... весь текст скрыт [показать]

6.47, ы 0, 21:15, 05/02/2009 [ответить] [смотреть все]	+/–
Ага, даём вам 30 секунд - мы благородные пираты ИМХО так - даже хуже Пока пол... весь текст скрыт [показать]

6.49, cray, 22:04, 05/02/2009 [ответить] [смотреть все]	+/–
к примеру, найду тебя или того кто тебе дорого, и совершу убийство без отягч... весь текст скрыт [показать]

6.57, terr0rist, 23:35, 05/02/2009 [ответить] [смотреть все]	+/–
Может вообще сажать разработчиков за то, что не умеют программить и оставляют ды... весь текст скрыт [показать]

4.30, spamtrap, 18:36, 05/02/2009 [ответить] [смотреть все]	+/–
а скольким пользователям ихнего сайта это доставило страдания поделитесь информ... весь текст скрыт [показать]

5.53, cray, 22:38, 05/02/2009 [ответить] [смотреть все]	+/–
и какой тяжести еще плюс пригласить психолога чтоб провел психоанализ со всеми... весь текст скрыт [показать]

3.15, Aleksey, 16:33, 05/02/2009 [ответить] [смотреть все]	+/–
А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т к вам показали в... весь текст скрыт [показать]

4.17, wertik, 16:38, 05/02/2009 [ответить] [смотреть все]	+/–
Вы не путайте, а то еще про солонку щас баян припомню IT не тот сектор Аккау... весь текст скрыт [показать]

5.19, Sem, 16:54, 05/02/2009 [ответить] [смотреть все]	+/–
Какая разница Если вам так угодно, пусть это будет не квартира, а ваш домик, по... весь текст скрыт [показать]

6.21, wertik, 17:02, 05/02/2009 [ответить] [смотреть все]	+/–
В таком случае начинайте с низа Ответственность с производителей жестких диско... весь текст скрыт [показать]

7.31, Аноним, 18:38, 05/02/2009 [ответить] [смотреть все]	+/–
Аналогия неуместна, все эти производители предупреждают пользователя заранее в л... весь текст скрыт [показать]

8.81, none, 17:25, 06/02/2009 [ответить] [смотреть все]	+/–
а когда ты дверь покупал себе в квартиру там тоже был такой пунктик вы исполь... весь текст скрыт [показать]

9.113, Abstractioneer, 12:33, 09/02/2009 [ответить] [смотреть все]	+/–
То есть, если дверь взломали - садить не воров, а тех, кто дверь сделал ... весь текст скрыт [показать]

6.56, Вася, 23:20, 05/02/2009 [ответить] [смотреть все]	+/–
А если он в домик залез, посмотрел ТВ, полистал журналы, скопировал из свежего п... весь текст скрыт [показать]

7.73, Аноним, 12:37, 06/02/2009 [ответить] [смотреть все]	+/–
Разумеется Нарушена неприкосновенность жилища ... весь текст скрыт [показать]

7.88, GoSha, 11:02, 07/02/2009 [ответить] [смотреть все]	+/–
Не надо лезть своими грязными руками другому в штаны, даже если он забыл застегн... весь текст скрыт [показать]

5.36, User294, 19:13, 05/02/2009 [ответить] [смотреть все]	+/–
Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки у меня го... весь текст скрыт [показать]

6.89, GoSha, 11:05, 07/02/2009 [ответить] [смотреть все]	+/–
Правильная мысль, особенно если учесть тот факт, что для профи любой замок откры... весь текст скрыт [показать]

4.110, Аноним, 21:57, 08/02/2009 [ответить] [смотреть все]	+/–
... весь текст скрыт [показать]

4.112, wertik, 11:50, 09/02/2009 [ответить] [смотреть все]	+/–
А можно не путать , реальную жизнь и виртуальную Тем более имея такой бардак ... весь текст скрыт [показать]

3.93, Oles, 12:59, 07/02/2009 [ответить] [смотреть все]	+/–
Правильно, для того, чтоб показать что нож - оружие, нужно перерезать не менее 1... весь текст скрыт [показать]

2.20, Guest, 16:58, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
А зачем их искать Помоему список разработчиков phpBB известен ... весь текст скрыт [показать] [показать ветку]

3.22, geekkoo, 17:04, 05/02/2009 [ответить] [смотреть все]	+/–
У них у всех израильское гражданство А там своих не выдают ... весь текст скрыт [показать]

2.23, i, 17:27, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
надеюсь что не найдут, вы наверно хотите чтоб все были белые и пушистые и пусть ... весь текст скрыт [показать] [показать ветку]

3.27, Aleksey, 18:27, 05/02/2009 [ответить] [смотреть все]	+/–
Сообщить о баге - это не одно и тоже с тем, чтобы его использовать Если для вас... весь текст скрыт [показать]

4.54, darkk, 22:49, 05/02/2009 [ответить] [смотреть все]	+/–
Я не знаю, насколько авторы phpBB адекватны, но иногда подобный способ 8212 е... весь текст скрыт [показать]

2.42, Unknown, 20:55, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
Мне кажется, мистер, из-за таких как вы уже практикуется фильтрация трафика по к... весь текст скрыт [показать] [показать ветку]

2.76, Touch, 14:14, 06/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
Думаю слишком сурово, а вот штраф на пару десятков косых в самый раз ... весь текст скрыт [показать] [показать ветку]

....нить скрыта, показать (31)

1.18, Аноним, 16:48, 05/02/2009 [ответить] [смотреть все]	+/–
Зачем там вообще регистрация ... весь текст скрыт [показать]

1.25, Андрей К., 18:05, 05/02/2009 [ответить] [смотреть все]	+/–
Теперь при регистрации под открытыми/бесплатными движками помимо заверения о содержании личных данных в тайне, появятся слова, что инфа может быть спёрта, и никто за это отвечать не будет. * * * Только после такого осознаешь обратную сторону GPL.

2.28, WhiteWind, 18:27, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
А при чём здесь GPL ... весь текст скрыт [показать] [показать ветку]

2.33, bsdaemon, 18:57, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
при чем тут GPL Кража данных она везде кража, включая банковские счета т е р... весь текст скрыт [показать] [показать ветку]

2.44, Unknown, 21:09, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
вы лучше eula от Microsoft почитайте Или у других разработчиков закрытого ПО ... весь текст скрыт [показать] [показать ветку]

2.63, vitek, 01:20, 06/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
только после того как родишься осознаешь, что мир - дерьмо а при чем здесь gpl ... весь текст скрыт [показать] [показать ветку]

1.26, srgaz, 18:22, 05/02/2009 [ответить] [смотреть все]	+/–
>Только после такого осознаешь обратную сторону GPL. Вообще если у вас сопрут с ISS то вам скажут-- что, вы сами виноваты.

2.32, spamtrap, 18:38, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
идиоты, которые скажут, что сами виноваты, всегда найдутся, в не зависимости от ... весь текст скрыт [показать] [показать ветку]

1.29, VyacheslavS, 18:32, 05/02/2009 [ответить] [смотреть все]	+/–
Есть такая хорошая поговорка: "За одного битого - двух небитых дают" И я уверен, что phpBB через несколько дней станет еще лучше и надёжнее!

2.34, anonymous, 18:57, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
куда уж лучше-то ... весь текст скрыт [показать] [показать ветку]

2.61, terr0rist, 23:56, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
и в инете появится еще пара сотен тыщ статей о SQL-injection и include anyfile ,... весь текст скрыт [показать] [показать ветку]

1.40, VyacheslavS, 20:30, 05/02/2009 [ответить] [смотреть все]	+/–
>куда уж лучше-то? C каждым релизом работает шустрее, исправляют баги и тп, вводят новые фишки - вот должен релиз АвтоМод-а выйти. Очень хороший продукт в разряде GPL.

1.43, Аноним, 21:07, 05/02/2009 [ответить] [смотреть все]	+/–
Он доступен многим, понятен, прост в использовании и он GPL Попробуйте доказать... весь текст скрыт [показать]

2.48, Аноним, 21:33, 05/02/2009 [ответить] [смотреть все] [показать ветку]	+/–
Ну доступных и более понятных языков вагон и маленькая тележка А що opennet нап... весь текст скрыт [показать] [показать ветку]

3.62, terr0rist, 00:12, 06/02/2009 [ответить] [смотреть все]	+/–
PHP конечно зло но главное зло - это РНР-программисты Можно и на пыхе написа... весь текст скрыт [показать]

4.64, Аноним, 02:09, 06/02/2009 [ответить] [смотреть все]	+/–
Каждый язык должен использоваться для своих задач У меня таблица в html 300 мег... весь текст скрыт [показать]

5.65, terr0rist, 02:17, 06/02/2009 [ответить] [смотреть все]	+/–
Perl - для текста У меня таблица в html несколько минут - это очччень долго ... весь текст скрыт [показать]

4.67, Аноним, 08:37, 06/02/2009 [ответить] [смотреть все]	+/–
Если не учитывать массу хаков веб-клиентов, с получением полного доступа к систе... весь текст скрыт [показать]

5.71, Geol, 11:04, 06/02/2009 [ответить] [смотреть все]	+/–
Допускает не язык а программисты Не хочу любить язык Люблю девушек Django и... весь текст скрыт [показать]

6.74, Аноним, 13:50, 06/02/2009 [ответить] [смотреть все]	+/–
Вот уж нет, не нужно все взваливать на человека, человеку свойственно ошибаться,... весь текст скрыт [показать]

7.78, terr0rist, 15:07, 06/02/2009 [ответить] [смотреть все]	+/–
Опять же, не спорю, а поправляю Нельзя сделать абсолютную защиту от дурака в ср... весь текст скрыт [показать]

8.79, Geol, 15:39, 06/02/2009 [ответить] [смотреть все]	+/–
Вы уж простите, но моё дело - как раз веб-разработка С Django я действительно о... весь текст скрыт [показать]

9.83, nuclight, 19:28, 06/02/2009 [ответить] [смотреть все]	+/–
Есть Постольку, поскольку дыры очень часто находят в САМОМ php, да и просто доф... весь текст скрыт [показать]

9.84, Аноним, 19:30, 06/02/2009 [ответить] [смотреть все]	+/–
Проблема не в том что проектов больше, а следовательно и уязвимостей больше, про... весь текст скрыт [показать]

8.82, Аноним, 19:14, 06/02/2009 [ответить] [смотреть все]	+/–
Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная ф... весь текст скрыт [показать]

6.75, Аноним, 14:07, 06/02/2009 [ответить] [смотреть все]	+/–
А кто вам вообще сказал что Zend используют больше чем RoR Есть статистика ... весь текст скрыт [показать]

5.77, terr0rist, 14:49, 06/02/2009 [ответить] [смотреть все]	+/–
В принципе, я не спорю Я только уточняю Можно рассматривать с точки зрения юзе... весь текст скрыт [показать]

6.86, Аноним, 19:55, 06/02/2009 [ответить] [смотреть все]	+/–
Ага, придет к вам толстый заказчик кинет денег на стол и скажет хочу баннер на ф... весь текст скрыт [показать]

3.120, лка, 22:47, 09/02/2009 [ответить] [смотреть все]	+/–
gt оверквотинг удален да неужели а symfony к примеру ни осилил php виновн... весь текст скрыт [показать]

4.121, Аноним, 00:04, 10/02/2009 [ответить] [смотреть все]	+/–
а symfony к примеру ни осилил php виновно Симфония вещь она хорошая конечно, н... весь текст скрыт [показать]

....нить скрыта, показать (17)

1.45, VyacheslavS, 21:13, 05/02/2009 [ответить] [смотреть все]	+/–
Нашелся и взломщик, точнее его блог: http://hackedphpbb.blogspot.com/2009/01/place-holder.html

1.90, GoSha, 11:16, 07/02/2009 [ответить] [смотреть все]	+/–
1) "Всё что одним человеком сделано, завсегда другим может быть поломано" 2) А зачем это они сделали? Вообще, зачем эти прыщавые юнцы воруют аккаунты, е-майлы и прочая прочая. Ещё один из способов померяться длинной пиписьки? Однозначно, любые противоправные действия должны быть осуждены и не говорите мне об открытой двери и плохом замке Или вы хотите что бы я открыл дверь но оставил в квартире бультырьера? или по улицам с булем ходил?

1.103, tty01, 13:18, 08/02/2009 [ответить] [смотреть все]

+/–

Правильно сделали, что сломали. Там ошибка - детская (?a=../../etc/password)
Головой думать надо, прежде чем ставить нубский софт.

Ваш комментарий