The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.12.2015 11:18  Взлом инфраструктуры свободных проектов Deluge и qBittorrent

Сообщается о взломе ряда сайтов, связанных с разработкой и обсуждением технологий Bittorrent. Среди скомпрометированных ресурсов оказались форумы свободных Bittorrent-клиентов Deluge и qBittorrent, вся пользовательская база которых оказалась в руках атакующих.

Базы хэшей паролей и email-адресов пользователей форумов Deluge и qBittorrent уже выставлены на продажу на сайте Databoss.io. В качестве подтверждения взлома атакующие разместили на скомпрометированных сайтах файл hello.txt. В настоящий момент сайт Deluge полностью отключен на время разбора инцидента, а у проекта qBittorrent отключен только форум, который был запущен на отдельном сервере. Подробности взлома инфраструктуры Deluge и qBittorrent пока не сообщаются. Также пока не ясно, какой уязвимостью воспользовались атакующие. Проект Deluge использовал для форума движок phpBB, а qBittorrent - SMF.

Разработка обоих проектов велась на GitHub (qBittorrent, Deluge), поэтому злоумышленники были лишены возможности скрыто модифицировать кодовую базу. При этом не исключено, что некоторые разработчики, хэши паролей которых попали в руки атакующих, могли использовать одни и те же пароли на разных ресурсах в сети.

  1. Главная ссылка к новости (https://torrentfreak.com/hacke...)
  2. OpenNews: Обновление BitTorrent-клиентов Transmission 2.51 и Deluge 1.3.5
  3. OpenNews: Релиз BitTorrent-клиента Deluge 1.3.2
  4. OpenNews: Выпуск торрент-клиента qBittorrent 3.3.0, перешедший на Qt5
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: deluge, qbittorrent
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, iZEN (ok), 13:10, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Пользователей Vuze это тоже касается?
     
     
  • 2.16, Аноним (-), 19:02, 22/12/2015 [^] [ответить]    [к модератору]
  • +4 +/
    пользователей вообще не касается, а вот разработчикам стоит проверить свои пароли и ключи от гитхаба и что там ещё утекло не знаю.
     
     
  • 3.22, Аноним (-), 12:50, 23/12/2015 [^] [ответить]    [к модератору]
  • +/
    ключи если и утекли то только открытые, что не шибко страшно.
     
  • 1.2, Аноним (-), 13:25, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –14 +/
    Кончался 2015 год, а технологии информационной безопасности всё ещё на уровне начала 90-х, что до сих пор всякие "хакеры" и "взломщики" не искоренены как класс.
     
     
  • 2.3, Аноним (-), 13:32, 22/12/2015 [^] [ответить]    [к модератору]
  • +3 +/
    Как ты себе это представляешь?
     
     
  • 3.4, Аноним (-), 13:39, 22/12/2015 [^] [ответить]    [к модератору]  
  • –5 +/
    Интернет-паспорт каждому
     
     
  • 4.6, Аноним (-), 13:58, 22/12/2015 [^] [ответить]     [к модератору]  
  • +4 +/
    Не поможет, уже есть TOR и I2P Боб попросил попросил Петю передать конверт Алис... весь текст скрыт [показать]
     
     
     
    Часть нити удалена модератором

  • 6.19, lv7e (?), 20:20, 22/12/2015 [ответить]    [к модератору]  
  • +/
    Интересно, что такие как вы делаете на свободном ресурсе OpenNet?
     
     
  • 7.24, Аноним (-), 21:33, 23/12/2015 [^] [ответить]     [к модератору]  
  • +/
    передававшему конверт бутылку от шампанского вставят, так он даже фамилии неизве... весь текст скрыт [показать]
     
     
  • 8.26, Аноним (-), 15:15, 24/12/2015 [^] [ответить]     [к модератору]  
  • +/
    довольно наивно думать что хакеры вытянутся по стойке смирно и начнут использова... весь текст скрыт [показать]
     
  • 4.25, Аноним (-), 15:05, 24/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Интернет-паспорт каждому

    как все это помешает взломать тебя и использовать как прокси? ну посадят тебя, подумаешь. одним терпилой больше. ботнетчикам какое дело?

     
  • 3.5, Аноним (-), 13:56, 22/12/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    Всё просто, софт для продакшена должен быть без единой уязвимости.
     
     
  • 4.9, lucentcode (ok), 14:44, 22/12/2015 [^] [ответить]    [к модератору]  
  • +6 +/
    Это в принципе невозможно. Для того, что-бы софт был без единой уязвимости, его должны писать не люди, так как люди склонны ошибаться. Да и разработка ПО без уязвимостей велась бы крайне медленно, и её стоимость была бы просто астрономической. В общем, в данном вопросе вам стоит определиться: вам шашечки, или ехать?
     
     
  • 5.21, анон с лора (?), 06:13, 23/12/2015 [^] [ответить]    [к модератору]  
  • +/
    system i написали же
     
  • 4.14, Аноним (-), 17:09, 22/12/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    Каждая найденная уязвимость является предпоследней.
     
  • 3.8, angra (ok), 14:36, 22/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Ну конкретно от этого типа взлома давно уже можно было избавится, заменив авторизацию по паролю на авторизацию по ключам, тем самым лишив смысла похищения БД с публичными ключами.
     
     
  • 4.12, Меломан1 (?), 16:24, 22/12/2015 [^] [ответить]    [к модератору]  
  • +/
    Ваш вариант с ключами не имеет смысла, т.к. база реквизитов пользователей все равно будет под угрозой угона, а это самое главное имена, номера кредиток, телефоны, электронная почта и адрес место жительства...  
     
     
  • 5.15, angra (ok), 18:26, 22/12/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты все эти данные оставляешь на каждом форуме?
     
  • 4.27, Аноним (-), 15:24, 24/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Ну конкретно от этого типа взлома давно уже можно было избавится, заменив
    > авторизацию по паролю на авторизацию по ключам,

    только половина взломов почему-то происходит через спертые ключи.

     
  • 2.7, lv7e (?), 14:32, 22/12/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    И это хорошо!
    Или вам тоже захотелось стерильного чебурнета?
     
     
  • 3.28, Аноним (-), 15:25, 24/12/2015 [^] [ответить]    [к модератору]  
  • +/
    > Или вам тоже захотелось стерильного чебурнета?

    не заслуживают ни свободы, ни безопасности.

     
  • 2.10, lucentcode (ok), 14:48, 22/12/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    Их невозможно искоренить как класс. Пока есть программисты, допускающие ошибки - будут и те, что будет эксплуатировать найденные ими уязвимости. Это нормально. Если вы этого не понимаете, и верите что есть какая-то серебряная пуля, способная защитить IT-инфраструктура от хакеров - боюсь вы очень далеки от IT-тематики.

     
  • 2.17, Аноним (-), 19:03, 22/12/2015 [^] [ответить]     [к модератору]  
  • +5 +/
    2015 год на дворе а человеческое общество как в каменном веке, до сих пор всякие... весь текст скрыт [показать]
     
  • 1.11, hand (?), 15:12, 22/12/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    сайт с базами уже прикрыли.
     
  • 1.23, Аноним (-), 20:26, 23/12/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Похоже что сломали форум используя какую-то уязвимость Офф страница форума qBit... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor