Несколько дней назад хакерская группа UGNazi осуществила громкую акцию, подменив DNS-записи одного из самых популярных сайтов в интернете — форумов 4chan (входит в Топ-1000 по версии Alexa). Хак был осуществлён через инфраструктуру DNS-сервиса CloudFlare, клиентом которого является 4chan. В результате, миллионы посетителей 4chan автоматически перенаправлялись на сайт хакерской группы UGNazi.
Во взломе 4chan нет ничего особо интересного, это англоязычное сообщество не слишком известно в Рунете. Но вчера исполнительный директор компании CloudFlare Мэтью Принс (Matthew Prince) назвал четыре «критические уязвимости», которые привели к взлому, это уже интересно.
1. Сотовый оператор AT&T включил редирект голосовой почты Принса на сторонний ящик.
2. Злоумышленник выполнил процедуру смены «забытого пароля» от почтового ящика Gmail, запросив четырёхзначный PIN-код на телефон.
3. Уязвимость в процедуре восстановления паролей Google Enterprise Apps позволила злоумышленнику обойти двухфакторную аутентификацию в аккаунте Принса на CloudFlare.com.
4. Автоматическая отсылка на административный аккаунт «слепых копий» служебных писем CloudFlare в адрес пользователя (в том числе с указанием пароля) позволила сменить пароль пользователя, поскольку хакер имел доступ к административному аккаунту.
CloudFlare представляет собой систему доставки контента (CDN) с динамической системой DNS-серверов. Основная задача — перераспределение сетевой нагрузки для высоконагруженных сайтов, обеспечение стабильной работы и защита от DDoS-атак.
Более подробно о взломе CloudFlare см. пост-мортем в корпоративном блоге. Компания также опубликовала инфографику с хронологией событий — весь взлом занял менее двух часов.
Представители хакерской группы UGNazi заявили о намерении продать базу данных CloudFlare на Darkode.