Официальный веб-сайт одного из самых популярных в Интернете форумов был
отключен от Сети из-за дыры в безопасности, в результате которой нападавший
получил полный доступ к базе данных ресурса, содержащей имена, реквизиты
электронной почты, адреса и хешированные пароли всей пользовательской аудитории.
В опубликованном в воскресенье сообщении администраторы phpBB.com сообщили,
что атака стала возможной из-за непропатченной дыры безопасности в стороннем
почтовом приложении PHPlist, патч для которого был выпущен 29 января. До момента
обнаружения злоумышленник имел полный доступ к базе в течение двух недель. По
состоянию на вчерашний день сайт phpBB продолжает оставаться отключенным, и это
происходит уже третий день подряд.
Блоггер, похвалившийся
тем, что это именно он осуществил нападение, сообщил, что ему удалось
выкрасть детали более чем 400 000 аккаунтов. Также он заявил, что создал
специальный скрипт, с помощью которого взломал свыше 28 000 паролей,
хешированных алгоритмом MD5. На момент написания статьи эти пароли еще не
опубликованы.
Сообщение на временном форуме техподдержки гласит, что самая последняя версия
phpBB использует сложный алгоритм хеширования, предотвращающий восстановление
пароля из хэша. Более ранние версии форума использовали при хешировании менее
безопасный алгоритм MD5. Чтобы получить защиту более серьезного алгоритма
хеширования, пользователи должны зарегистрироваться или зайти на свой аккаунт
после внедрения исправлений.
phpBB – это открытый программный пакет, предназначенный для развертывания
форумов на сайтах. Он написан на языке PHP и его последняя версия не имеет
никаких известных уязвимостей. Доступ к базе был получен при использовании
эксплоита для PHPlist, описание которого находится здесь.