Хакер использовал 0-day уязвимость, чтобы украсть почтовые адреса и
хешированные пароли пользователей, а также чтобы прочитать личные сообщения на
форуме bitcointalk.org.
Администраторы форума сообщили, что злоумышленник получил root-доступ и смог
запустить произвольный PHP-код.
Злоумышленник получил доступ 3 сентября и не был обнаружен до тех пор, пока
не внедрил "неприятный JavaScript" на страницы форума неделей позже.
Форум был закрыт и переехал на новый хост.
Изначально злоумышленник использовал SQL-инъекцию для эксплуатации
уязвимости, существовавшей из-за того, что программное обеспечение форума
неправильно обрабатывало данные, введенные пользователями. Нарушитель приобрел
донорский аккаунт для получения доступа к правам, необходимым для того, чтобы
незаконно изменять имена пользователей, а затем захватил аккаунт администратора
Сатоши.
Оттуда злоумышленник внедрил в сайт свой PHP-код путем модификации шаблона
стилей.
Bitcointalk определил несколько взломанных аккаунтов и IP-адресов, которые
использовались в атаках.
Пароли были захешированы с использованием популярной функции SHA-1 и
"просолены" посредством их комбинации с логинами – эффективный метод,
используемый в Simple Machines Forum.
"Неизвестно наверняка, скопировал ли злоумышленник парольные хеши, но судя по
всему, он это сделал", - заявил администратор.
Администраторы призывают пользователей сменить пароли и быть осторожными в
виду возможности фишингового мошенничества в связи со взломом BitCoin.
"Смените свои пароли. Если вы использовали одинаковые пароли на других
сайтах, их тоже следует сменить", - порекомендовали они.
Ранее в этом году более 61 000 имен пользователей, email адресов и
хешированных паролей были украдены из популярного обменника
BitCoin Mt.Gox.
