Взломан форум о социальной инженерии, данные о пользователях опубликованы в открытом доступе - «Новости»

Xakep #243. Лови сигнал

• Содержание выпуска


• Подписка на «Хакер»

Форум Social Engineered (который, как следует из названия, был полностью посвящен социальной инженерии) скомпрометировали, а информация о его пользователях попала в руки конкурентов.

Инцидент произошел 13 июня 2019 года. В результате утечки в распоряжении третьих лиц оказалась подробная информация обо всех пользователях форума, включая 89 000 уникальных адресов email, связанных с 55 000 учетных записей, имена пользователей, их IP-адреса и пароли, хранившиеся в виде соленых хешей MD5. Хуже того, по информации агрегатора утечек Have I Been Pwned, на сторону «утекли» и личные сообщения пользователей.

Вся эта информация уже опубликована на различных хакерских форумах. Более того, на одном из этих ресурсов сообщается, что  утечка также содержала исходный код Social Engineered и данные об активности сайта.

Один из администраторов Social Engineered, известный под ником Snow101, сообщил, что причиной утечки стала некая уязвимость в MyBB, которой воспользовались злоумышленники. Возможно, речь идет свежем о XSS-баге в MyBB, детальная информация о котором была обнародована совсем недавно, в середине июня текущего года. Эта уязвимость позволяла атакующей стороне захватить полный контроль над целевой учетной записью, а если вредоносное сообщение, содержащее код jаvascript, было направлено администратору или опубликовано на форуме MyBB, это вообще могло привести к полному удаленному захвату уязвимого форума. Данная проблема была исправлена разработчиками с релизом MyBB 1.8.21.

Администраторы Social Engineered уверяют, что намерены не допустить повторения случившегося и для этого, в частности, уже перешли на платформу XenForo. В итоге теперь пользователей простят не только срочно сменить пароли, но и пожертвовать ресурсу денег, так как переход с бесплатной MyBB на коммерческую платформу обходится недешево.