The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей

09.06.2018 08:49

Ресурс haveibeenpwned.com, отслеживающий факты компрометации учётных записей, опубликовал сведения о взломе сайта сообщества LinuxForums.org, который произошёл 1 мая и привёл к утечке базы пользователей, включающей имена, Email, IP-адреса и хэши паролей пользователей.

В руки атакующих попали сведения о 275 тысячах учётных записей. Пароли были прохэшированы при помощи ненадёжного алгоритма MD5 с использованием соли. Утверждается, что на сайте использовалась старая версия движка vBulletin, уязвимость в котором была использована для взлома (в своё время через уязвимости в vBulletin взломам подвергались форумы Ubuntu (1, 2), openSUSE и NVIDIA). Администраторы LinuxForums.org пока не опубликовали заявление о взломе, а также игнорируют все попытки связаться с ними по этому вопросу.

  1. Главная ссылка к новости (https://www.reddit.com/r/linux...)
  2. OpenNews: В форуме vBulletin обнаружена серьезная уязвимость
  3. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  4. OpenNews: Форум проекта openSUSE подвергся взлому
  5. OpenNews: Взлом инфраструктуры Linux Mint привёл к распространению ISO-образов с бэкдором
  6. OpenNews: Зафиксированы атаки на форумы vBulletin с использованием 0-day уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/48742-hack
Ключевые слова: hack
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (49) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 08:57, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –16 +/
    Ну охренеть теперь. Кто-то взломал форум на старом движке. При этом ущерб не насенён. Да такое каждый день по 100 раз случается.
     
     
  • 2.7, нах (?), 09:14, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ну охренеть теперь. Кто-то взломал форум на старом движке.

    Стухл, ты неправильно читаешь новость: "ну охренеть теперь, линyпсфорумс был на тухлом движке и с админом из контингента опенне...простите, линyпсфорумсов". Действительно, ничего удивительного.

     
  • 2.13, Аноним (-), 11:56, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Стухл
     
  • 2.52, freehck (ok), 01:04, 11/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > При этом ущерб не насенён.

    Ущерб нанесён 275 тысячам пользователей LinuxForums.org.

     

  • 1.2, тоже Аноним (ok), 09:04, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Пароли были прохэшированы при помощи ненадёжного алгоритма MD5 с использованием соли.

    В реальности эта "ненадежность" означает, что паролям, не входящим в словарь часто используемых, ничего не грозит.

     
     
  • 2.6, нах (?), 09:12, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    мальчикам-с-феноменальной-памятью ничего не грозит, ага.

    У всех остальных пароли подбираемы, и вряд ли существенно отличаются на разных сайтах.

     
     
  • 3.8, Fracta1L (ok), 09:21, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Открой для себя менеджеры паролей.
     
     
  • 4.15, gdsagdfhdfg (?), 13:00, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Какой порекомендуете?
    Я юзаю на базе KeePass. Открытый стандарт, множество реализаций. Есть на андроид. Интегрируется с андроидовским хранилищем паролей. Поддерживает работу через DropBox.
     
     
  • 5.17, A.Stahl (ok), 13:50, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И чем не устраивает?
     
  • 5.24, Аноним (-), 14:48, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Молодец, все правильно делаешь. Только в DropBox все-равно не надо. И вообще в инет сливать. Если совсем не можешь без этого, то Nextcloud поднимай.
     
     
  • 6.53, IRASoldier (?), 01:08, 11/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Только в DropBox все-равно не надо

    Подсказать, где заказать хорошую шапочку из фольги?

     
  • 5.30, нах (?), 16:52, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой порекомендуете?
    > Я юзаю на базе KeePass. Открытый стандарт, множество реализаций. Есть на андроид.
    > Интегрируется с андроидовским хранилищем паролей. Поддерживает работу через DropBox.

    ну я и говорю - "подарить дядям".
    Одновременно гуглю, дряньбоксу и еще хз кому в процессе.

    Не, ну они ж зуб дают, у них все надежно?!

     
  • 5.36, Аноним (-), 18:07, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    keepassx 0.4

    Размера кода мал, читается за вечер, соответственно, лично верифицирован. Стабилен, нет никаких свистелок.

     
     
  • 6.43, Аноним (-), 19:53, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Уже не развивается, замени на KeePassXC
     
     
  • 7.44, Аноним (-), 20:51, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >keepassxc

    кто разработчики? Чем оно лучше keepassx2?

     
     
  • 8.45, Аноним (-), 21:17, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    По крайней мере, более удобным, современным дизайном и нативной поддержкой Linux... текст свёрнут, показать
     
  • 8.46, Аноним (-), 21:19, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Просто KeePassX вообще кривой какой-то Лучше уж обычный KeePass юзать тогда ... текст свёрнут, показать
     
     
  • 9.57, robot228 (?), 11:49, 12/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Клоун чем он крив то Лучше него и KeePassXC и BitWarden ничего нет всё равно ... текст свёрнут, показать
     
  • 5.58, anonymous (??), 18:59, 19/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Какой порекомендуете?

    pass юзай. Это стандартный менеджер паролей nix. Все в gpg, git из горобки, emacs начиная с 26 умеет в него.

     
  • 4.29, нах (?), 16:51, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это чтоб проcpать все свои пароли разом (или подарить дядям)?

    ты эти менеджеры хоть раз верифицировал, или тупо apt install, ok, ok ?

     
     
  • 5.47, Аноним (-), 23:14, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    apt install из оф. репозиториев Debian Stable чем не устраивает? Не все ж могут лично изучать исходный код.
     
  • 3.48, тоже Аноним (ok), 12:17, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > мальчикам-с-феноменальной-памятью ничего не грозит, ага.
    > У всех остальных пароли подбираемы, и вряд ли существенно отличаются на разных сайтах.

    У меня три-четыре легко вспоминаемых пароля, которые, действительно, используются на разных сайтах.
    Например, на тех, где мне наплевать на взлом учетки, а также тех, на которых меня вынудили регистрироваться, хотя мне это не нужно - пароль Password. Феноменальная память как-то не требуется.

    Если не помню, какой пароль у меня на конкретном сайте - просто перебираю этот короткий список по очереди.

    Есть учетки, взлом которых реально опасен для меня. Это онлайн-банки, админки сайтов, личные кабинеты подключенных на них платежных систем и т.п. Такие пароли хранятся в браузере под мастер-паролем, а на пожарный случай - в простом текстовом файле в контейнере TrueCrypt. Опять-таки, внезапно, никаких подвигов по части мнемоники...

    Ну, и естественно, вторая группа учеток никак не пересекается с первой - это не те логины и пароли, которые можно взять и вынуть с какого-нибудь форума, где я бываю...

     
     
  • 4.50, нах (?), 22:11, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    как и у всех кроме мальчиков с феноменальной памятью, хранящих свою память в др... большой текст свёрнут, показать
     
     
  • 5.51, Anonymoustus (ok), 22:43, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > И вот хз что с этим делать :-(
    > Всюду таскать с собой недокомпьютер с туннелем в защищенную сеть, где мастер-пароли
    > уже введены?

    Забить. Жить и наслаждаться жизнью. Поменьше соприкасаться со щупальцами социальных сетей и современных программных продуктов. Обычный дешёвый ПК и программы для него уже были почти совершенны двадцать лет назад, с тех пор не изобретено _ничего_ по-настоящему нужного, без чего нельзя было бы обойтись. Фотошоп номер 5,5 и Офис-95 не дадут соврать.

     
  • 5.54, тоже Аноним (ok), 18:47, 11/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Вы знаете, когда я излагаю свою давно работающую практику, а человек в ответ начинает строить теории, никакого отношения к моей жизни не имеющие - мне как-то в лом разжевывать каждый пункт.
    Например, я не пользуюсь смартфоном и переводить деньги откуда попало и вдруг в любом случае не собираюсь... но вас же эта информация разве что побудит к новым размышлениям об иной, более правильной жизни? Право, не увеличивайте энтропию.
     

  • 1.3, Аноним (-), 09:05, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Могу поделиться с атакующими своим аккаунтом на опеннете.
    L: Аноним
    P:
     
  • 1.5, Аноним (-), 09:07, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > vBulletin
    > PHP
     
     
  • 2.9, Аноним (-), 09:31, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Свежие версии vbulettin выглядят прилично вебдванульно в стиле соц.сетей. Здесь виноваты владельцы форума что обмазываются Gовном мамонта.
     
     
  • 3.22, Аноним (-), 14:26, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >в стиле соц.сетей

    может поэтому и не обновлялись.

     
  • 3.28, Сатоси Накамото (?), 15:45, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Свежие версии vbulettin ломают ничем не хуже старых, мирок пхп разработчиков такой больно умный...

    https://cve.circl.lu/cve/CVE-2017-17672

     
     
  • 4.38, Kuromi (ok), 18:12, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ломают потому что популярный + тонны скрипткиддисов обходят по списку ботами перебирая все подряд хаки.
     
  • 2.16, Аноним84701 (ok), 13:33, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> vBulletin
    >> проприетарь
     
  • 2.25, Аноним (-), 14:50, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    vBulletin - это печально. Позор таким гoвном пользоваться.
     

  • 1.10, Anonymoustus (ok), 09:37, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > игнорируют все попытки связаться с ними по этому вопросу

    Плачут, поди. Мечтают о надёжном докере и профессиональных девопсах.

     
     
  • 2.41, devops (?), 18:55, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    просто у нас почта тоже паламалася...
     

  • 1.11, Аноним (-), 09:52, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Теперь Линус должен написать движок для форума как он в свое время написал git.
     
     
  • 2.12, Ydro (?), 10:19, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И никакого DOM в браузере, только чтобы из консоли разработчика можно было строчить.
     
     
  • 3.19, Аноним (-), 14:03, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А потом кто-нибудь символ пайпа запостит…
     
  • 2.14, Аноним (-), 11:57, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даёшь гипертекстовый векторны!... wait, oh shi--
     
  • 2.27, Аноним (-), 15:14, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А как же волшебный фак? Главная движущая сила)
     

  • 1.18, Аноним (-), 13:53, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Жаль, хороший был ресурс, без кармадр... Чем-то ЛОР напоминал, но с более приличным сообшеством :))
     
     
  • 2.20, Аноним (-), 14:09, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему "был"? Он вроде бы никуда не делся. Хеши паролей с солью хацкеры могут пытаться отреверсить сколько хотят - крипту майнить выгоднее ИМХО.

    С другой стороны, по поводу какой проблемы я бы ни гуглил, ни яндексил - никогда решение не находилось на домене linuxforums.org. Никогда!

     
     
  • 3.31, Аноним (-), 17:01, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > С другой стороны, по поводу какой проблемы я бы ни гуглил, ни
    > яндексил - никогда решение не находилось на домене linuxforums.org. Никогда!

    может, он просто хреново индексируется?

    хотя, на мой взгляд, оно не об этом вообще.

     
  • 2.33, Аноним (-), 17:38, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сказал слово на букву Л? Аноним скатился, несите нового)
     

  • 1.37, Kuromi (ok), 18:10, 09/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Такое прямо ощущение,что никто из присутствуюищх никогда vBulletin вживую изнутри не видел. Прекрасно понимаю (но не одобряю) почему владельцы форума сидели на старом движке. Никто не пользуется ванильным vBulletin, практически все обвешивают его всевозможными модами которые доступны, в основном, легальным покупателям движка. Собтвенно именно за это большинство и платит, если без модов то можно с тем же успехом SMF ставить например.

    Проблема же в том, что, во первых, моды все как на подбор коряво, вручную ставятся, хотя эту проблему вроде собирались порешать, а во вторых, рано или поздно разработчик мода на него забивает.

    Ну и переносимость между крупными обновлениями движка тоже не очень, чаще всего без доработки\переработки не заработает.

    Вот и становится для форума обвешанного модами каждое обновление головной болью, а уж если мод больше не поддерживается...

     
     
  • 2.42, пох (?), 18:59, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Такое прямо ощущение,что никто из присутствуюищх никогда vBulletin вживую изнутри не видел.

    слушай, ну я прямо щаслив в своем неведении (а ведь был, был шанс познакомиться вплотную)

    > Ну и переносимость между крупными обновлениями движка тоже не очень, чаще всего
    > без доработки\переработки не заработает.

    п-ц :-(

    то есть даже vanilla не переносится между версиями? Учитывая размер базы lfo - кажется, я понимаю, почему они там на письма не отвечают...

     
     
  • 3.49, Kuromi (ok), 20:10, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ванилла переносится, но бывало и такое, что при апгрейде все ломалось, так как там даже апгрейд довольно глючный (был, как минимум). Самый надежный способ апгрейда - установка новой копии и импорт данных из старой.
     

  • 1.55, Аноним (-), 04:57, 12/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ссылка будет на файл с паролями или опять шумиха вокруг фейка?
     
  • 1.56, robot228 (?), 11:46, 12/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сколько читал за ласт лет 8 что пыха дырявая так и не пойму накой на неё дронькают все.
    Надо юзать современное типо Discourse. Остальное не нужно.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру