The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взлом форума проекта OpenWRT

18.01.2021 23:01

Разработчики дистрибутива OpenWRT уведомили пользователей о взломе форума проекта (forum.openwrt.org). Примерно в 7 утра (MSK) 16 января неизвестные злоумышленники смогли получить доступ к учётной записи администратора форума. Каким образом была скомпрометирована учётная запись - не ясно, заявлено, что был установлен надёжный пароль, но не была включена двухфакторная аутентификация.

В ходе атаки злоумышленники смогли загрузить список, включающий параметры пользователей, такие как имена, email и статистику работы с форумом. Прямых доказательств утечки полной базы пользователей не найдено, но для предосторожности выполнен сброс всех паролей пользователей форума и очищены все ключи доступа к API. Отмечается, что форум работал отдельно от Wiki-сайта openwrt.org, и их базы данных не пересекались.

  1. Главная ссылка к новости (https://lists.openwrt.org/pipe...)
  2. OpenNews: Обновление OpenWrt 19.07.1 с устранением уязвимости, допускающей подмену пакетов
  3. OpenNews: Взлом инфраструктуры LineageOS через уязвимость в SaltStack
  4. OpenNews: Форум и web-сервисы дистрибутива Sabayon Linux подверглись взлому
  5. OpenNews: Форум проекта openSUSE подвергся взлому
  6. OpenNews: Взломан официальный форум проекта Ubuntu
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54430-openwrt
Ключевые слова: openwrt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (84) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:12, 18/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –25 +/
    А что это?
     
     
  • 2.3, Аноним (3), 23:20, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +42 +/
    Это такой старый способ общения в интернете из девяностых. Когда есть web 1.0 вебсайт, туда заходишь, заводишь себе пользователя. Потом можно создавать тематические треды для обсужения чего-то и комментировать чужие треды. Чтобы новые сообщения получить нужно обновлять страничку.
     
     
  • 3.5, Аноним (5), 23:25, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А разве не web 2.0 ? Энивей мейлин листы лучше же, всё равно на форуме нужно мыло при регистрации вводить.
     
     
  • 4.42, Аноним (42), 09:50, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А для мейлистов емейл как-будто не нужен?
     
  • 4.43, gogo (?), 09:51, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что за проблемы с мылом?
    Мыло можно и бесплатное получить. Еще остались такие провайдеры.
    Спам сейчас весьма хорошо фильтруется и не достает, как десяток лет назад.
    При этом никто не будет отслеживать твоего перемещения и активности, как по мобильному телефону и, тем более, смартфону.
     
     
  • 5.59, Аноним (59), 17:32, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А что за проблемы с мылом?
    > Мыло можно и бесплатное получить. Еще остались такие провайдеры.

    Нет бесплатных, есть те, где платишь деньгами, и те, где платишь сливом своих данных
    Если вам известны подобные, работающие с айпишниками РФ и не заблоченные в ней, то прошу подсказать, буду благодарен!

    > При этом никто не будет отслеживать твоего перемещения и активности, как по
    > мобильному телефону и, тем более, смартфону.

    Да, только современные емылы все как один просят номер телефона, если это не одноневные щитмейлы

     
     
  • 6.60, Аноним (60), 17:46, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Gmail не требует телефона, ProtonMail не требует телефона. Так кто же требует? Постоянно читаю, что у ванек кто-то требует, а проверяю и узнаю, что ванька врет
     
     
  • 7.71, Аноним (71), 22:17, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Gmail не требует телефона

    Да, не требует. Только посли привязки акков однажды в ящик можно просто не зайти. Пошлют привязывать телефон или оставаться без акков.

     
  • 7.74, дохтурЛол (?), 00:50, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты - врушка
    гмейл уже давно требует телефон
     
  • 6.64, Аноним (64), 19:00, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://switch.phreedom.tk/mail.html
     
  • 6.67, Сейд (ok), 20:53, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://box.tiksi.ru/
     
  • 4.50, Аноним (50), 13:34, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А как быть если мне не 74, у меня нет геморроя и я не могу использовать мейллисты, а только что-то нормальное для людей? Как решать проблему общения?
     
     
  • 5.53, б.б. (?), 16:07, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мне почти 74, и я согласен на что угодно, на фидо, на nntp, на форумы, на чат "кроватка", лишь бы не на мейл-листы.
     
     
  • 6.58, Аноним (59), 17:30, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    > Мне почти 74, и я согласен на что угодно, на фидо, на
    > nntp, на форумы, на чат "кроватка", лишь бы не на мейл-листы.

    Мне почти 70 и я согласен на что угодно, лишь бы это не требовало палить телефон или светить паспортными данными


     
     
  • 7.63, AlexN (??), 18:08, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +100500
     
  • 6.70, Аноним (64), 21:23, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Форумы самая удобная форма общения человечества. Удобнее чем рассылка почтовая и уж точно удобнее Discord мессенджера, в пользу которого отказываются от форумов.
     
     
  • 7.81, commiethebeastie (ok), 15:08, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так группу в дискорде можно без наличия моска организовать.
     
     
  • 8.82, Аноним (82), 16:26, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А это-то нам как раз и нужно, правда Куча групп, организованных низшими примата... текст свёрнут, показать
     
  • 8.83, Аноним (64), 17:05, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    За хостинг форума надо платить, форум могут задудосить ... текст свёрнут, показать
     
  • 6.87, ОхотникНаОленей (?), 00:50, 21/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чат Кроватка!!! Ностальжи
     
  • 6.90, Аноним (-), 07:57, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне почти 74, и я согласен на что угодно, на фидо, на
    > nntp, на форумы, на чат "кроватка", лишь бы не на мейл-листы.

    Эх дедушка, к 74 можно было бы и научиться почтарь уже настраивать.

     
  • 3.6, th3m3 (ok), 23:25, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +23 +/
    О, дак это же описан идеальный веб. Без всех эти свистоперделок на js, от которых потом всё тормозит.
     
     
  • 4.9, Аноним (5), 23:59, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вы конечно эстет, но я боюсь вас огорчить, от того, что это форум свистоперделок на js на нём не меньше. Да и вообще не понятно, что классного в каком-нибудь форуме на phpbb с баннерами на каждом сообщении и возможностью выбрать флажок страны, которая конечно очень нужна для определения часового пояса писавшего.
     
     
  • 5.37, Аноним (37), 06:15, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Только ru-board, только хардкор! Там и JS не нужен.
     
     
  • 6.56, js (??), 16:46, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Только ru-board, только хардкор! Там и JS не нужен.

    Так какого этот форум всё никак не может прогрузиться.

    Аллилуйа, спустя полторы минуты прогрузился

     
     
  • 7.73, asbo (?), 23:31, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чирий свинтил в 14-м :)
    И все гайки с левой резьбой на волшебном аяксе - тоже свинтил.
    batva цнб ...
    .
     
  • 5.91, Аноним (-), 07:59, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > не понятно, что классного в каком-нибудь форуме на phpbb с баннерами
    > на каждом сообщении и возможностью выбрать флажок страны, которая конечно очень
    > нужна для определения часового пояса писавшего.

    Однако phpbb юзабелен даже вообще совсем без JS по минимуму. А чего в нем классного? Нормальный кондовый форум, умеет все что ожидается от такого типа софта, имеет нормальные админ/мод тулзы и все такое. А что еще от форума надо?

     
  • 4.49, Чебур (?), 13:25, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Слижком уж радикально, да, сейчас не очень сознательные граждане пихают жс куда не попадя, но он все же позволяет делать и много полезных штук, тут как со спиртным - важна мера, нужно учить начинающих фронтендеров культуре использования js, а то они и примитивный лендинг готовы реакт засунуть.
     
     
  • 5.69, th3m3 (ok), 21:12, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, видал я всякие поделки Например, лэндинг, который был написан на Angular, г... большой текст свёрнут, показать
     
     
  • 6.76, Ананимас008 (?), 06:31, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Используют, чтобы не замарачиваться поддержкой разных браузеров и специфичных фич.
    Хотя, с тех пор как IE помер, возможно это уже не повод для оправдания.
     
  • 5.85, Аноним (-), 21:16, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пример с спиртным не подходит. Спирт ( алкоголь ) это яд, а яд полезным не бывает в любых дозах. Только если спирт для протики или дезинфекции.
     
     
  • 6.86, Аноним (-), 21:19, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Дизинфекции это наружно.
     
  • 3.12, Аноним (12), 00:13, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +18 +/
    > туда заходишь, заводишь себе пользователя. Потом можно создавать тематические треды для обсужения

    Пользователь может играть лесными эльфами, охраной дворца и злодеем. И если пользователь играет эльфами то эльфы в лесу, домики деревяные набигают солдаты дворца и злодеи. Можно грабить корованы...

     
     
  • 4.26, Забаньте_меня (?), 02:57, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В корованах конечно же идут коровы. Всё верно?
     
     
  • 5.40, Cinderella (?), 09:04, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Все сюда, у нас тут новичок
     
     
  • 6.68, ano (??), 20:56, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Этот форум слишком токсичный для новичка.
     
     
  • 7.93, Аноним (-), 08:01, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот форум слишком токсичный для новичка.

    А что, от опеннета кто-то умер?

     
  • 6.84, Забаньте_меня (?), 19:42, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Новичок?
    Из ФСБ получили?
    А кого травить планируете?
    Коров или корованы? :)
     
  • 6.92, Аноним (-), 08:00, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Все сюда, у нас тут новичок

    Можно даже сказать - нуб!

     
  • 5.48, Lex (??), 12:59, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Лови ньюфааагааа!
     
  • 4.29, Аноним (29), 04:23, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Джва года жду уже в азкабане!
     
  • 4.45, Аноним (45), 11:24, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >набигают

    Солдаты бигают...

     

  • 1.2, Аноним (2), 23:18, 18/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Only one forum break-in, in a heck of a long time!
     
     
  • 2.28, leibniz (??), 04:19, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +27 +/
    it is OK
     

  • 1.4, no_fate (ok), 23:22, 18/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Частенько ломать стали.
     
  • 1.7, Аноним (71), 23:33, 18/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >заявлено, что был установлен надёжный пароль, но не была включена двухфакторная аутентификация.

    Всем надо бежать ставить 2хфакторную срочно. Нет, трёх-факторную - ещё по отпечатку внутренней стенки прямой кишки. Ведь взломали-то не через уязвимость в форуме, инфа 146%.

     
     
  • 2.8, Kuromi (ok), 23:48, 18/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как будто бы на ЛЮБОЙ движек блога, CMS, форума есть плагин с двухфакторной авторизацией. Хорошо если TOTP хотя бы есть
     
     
  • 3.14, Аноним (12), 00:29, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Как будто бы на ЛЮБОЙ движек

    Как будто бы ЛЮБУЮ какашку надо в рот тянуть.

     
     
  • 4.35, КО (?), 05:28, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так запили свой очередной идеальный движок.
     
     
  • 5.46, Аноним (45), 11:26, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    на Rust
     
     
  • 6.80, sektant (?), 15:05, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты обгадился.
     
  • 3.77, Корец (?), 09:25, 20/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А, то есть мы вариант "написать самому" не рассматриваем?
     
  • 2.10, Аноним (5), 00:01, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >отпечаток внутренней стенки прямой кишки

    Вы не знаете, что двухфакторная аутенфикация бывает и без мобильного телефона ?

     
     
  • 3.11, Аноним (11), 00:10, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да? А куда же тогда эсэмэски сласть?
     
     
  • 4.23, Kuromi (ok), 02:10, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Да? А куда же тогда эсэмэски сласть?

    U2F - прекрасный пример двухфакторной авторизации без каких либо мобилок.

     
     
  • 5.38, ыы (?), 08:47, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А эмулятор алладиновских ключей к 1С прекрасный пример как эта двуфакторность спускается в унитаз...
     
     
  • 6.94, Аноним (-), 08:02, 25/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А эмулятор алладиновских ключей к 1С прекрасный пример как эта двуфакторность спускается в унитаз...

    Половина юзеров потом еще пароли на супер-пупер "флешки" забывает. И так то ничего, но админ который не админит все же лол.

     
  • 3.13, Аноним (12), 00:28, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну расскажи, какой у тебя второй канал связи после интернета.
     
     
  • 4.16, YetAnotherOnanym (ok), 00:36, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Фельдъегерь ФСО. Первый и единственный.
     
  • 4.17, Ананимус (?), 00:42, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Google Authenticator?..
     
     
  • 5.18, Java (?), 00:52, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    FreeOTP?
     
  • 5.19, Аноньимъ (ok), 00:54, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Google

    Канал таких размеров не каждому подходит.

     
     
  • 6.22, olo (?), 02:05, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вы бы хоть из своего канала выглядывали иногда, может книжки какие читали, ну или темой 2fa как то чутка увлеклись , боюсь представить какие у вас простите каналы..
     
     
  • 7.41, Аноньимъ (ok), 09:25, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я от гугл каналов большей частью отказался.

    >может книжки какие читали, ну или темой 2fa как то чутка увлеклись

    1. Зачем мне увлекаться тем что для меня не увлекательно? Звучит как предложение маньяка.

    2. На гугле 2fa мир клином не сошёлся.

     
  • 6.39, ыы (?), 08:48, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Канал таких размеров не каждому

    ... не каждому в прямую кишку войдет...

     
  • 5.65, flkghdfgklh (?), 19:23, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это одна из реализаций TOTP(RFC 6238)
    Не нравится реализация от гугл?
    Используй иные, их полна дупа огурцов

    https://freeotp.github.io/
    https://github.com/beemdevelopment/Aegis
    https://github.com/andOTP/andOTP
    https://github.com/calleerlandsson/tofu

    И далее по списку. С десяток OpenSource и еще с десяток Closed Source вариантов
    Все они(включая гугловый) работают оффлайн и не требуют интернета, что бы тебе ваньки не рассказывали

     
  • 4.44, Аноним (44), 10:05, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Радиотелеграф
     
  • 4.47, Аноним (45), 11:31, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >ну расскажи, какой у тебя второй канал связи после интернета

    Звонок майора на аналоговый телефон. (Работает даже при вытащенной вилке из розетки.)

     
  • 3.72, Аноним (71), 22:28, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Знаю, но мне по***. Потому что мне 1 *** при заходе с телефона оба фактора находятся в одном телефоне, что ваш любимый totp, что пароль. WebAuthn юзать в виде токена не буду, если вкрай загнобят - то придётся ставить программную эмуляцию, если затребуют аттестацию, то терпение лопнет и свалю с платформы во что бы мне то ни стало. Нельзя идти на компромиссы с шантажистами.

    В общем, если взломают телефон - то получат доступ ко всем факторам. Единственный результат такой двухфакторки - это возможность протерять аккаунт вместе с телефоном + неудобство использования. ***л я в рот такую двухфакторку.

     
  • 2.54, б.б. (?), 16:08, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, трёх-факторную - ещё по отпечатку внутренней стенки прямой кишки

    Трёхфакторная - это надо бороду Столлмана прикладывать. Используется, например, в Emacs для того, чтобы там появился текстовый редактор.

     
  • 2.61, Аноним (60), 17:49, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ванька, ты не в курсе, что totp работает оффлайн и имеет открытые реализации, так как сам стандартизирован?
     

  • 1.15, Огонь (?), 00:31, 19/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     
     
  • 2.24, Аноним (24), 02:54, 19/01/2021 Скрыто модератором
  • +6 +/
     

  • 1.20, Аноним (20), 01:04, 19/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Бывет. Зато ни одна бутылка не пострадала.
     
  • 1.21, FractaL (?), 01:07, 19/01/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –6 +/
     
     
  • 2.25, Аноним (25), 02:55, 19/01/2021 Скрыто модератором
  • +/
     
     
  • 3.31, FractaL (?), 04:44, 19/01/2021 Скрыто модератором
  • –2 +/
     
  • 3.34, FractaL (ok), 05:07, 19/01/2021 Скрыто модератором
  • +/
     
  • 2.27, Леголас (ok), 04:16, 19/01/2021 Скрыто модератором
  • +3 +/
     
     
  • 3.30, FractaL (?), 04:41, 19/01/2021 Скрыто модератором
  • +/
     
  • 3.32, FractaL настоящий (?), 04:45, 19/01/2021 Скрыто модератором
  • +2 +/
     
     
  • 4.36, Леголас (ok), 06:07, 19/01/2021 Скрыто модератором
  • +1 +/
     

     ....ответы скрыты модератором (7)

  • 1.52, Аноним (52), 15:07, 19/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Когда уже перейдут на Fediverse и перестанут заниматься централизацией общения?
     
     
  • 2.55, richman1000000 (ok), 16:26, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты с ума сошел?
    с Fediverse  у тебя в свой базе будет меньше пользователей, соответвенно меньше бабла высосать сможешь.

    Не забывай что OpenSource делает деньги на поддержке.
    OpenSource  != бесплатно
    кто-то должен платить

     
  • 2.57, Аноним (57), 17:23, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В Fediverse нет форумов. Не нужно.
     
  • 2.62, пох. (?), 17:52, 19/01/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем тогда тебе федя-версия? С воображаемыми-то друзьями прекрасно вообще в воображаемом интернете можно общаться.

     

  • 1.79, Zenitur (ok), 13:50, 20/01/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    23:01 - взломан форум OpenWRT
    12:19 - исправлена уязвимость в dnsmasq
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру