Сообщения о взломах форумов на платформе vBulletin – не редкость, но на этот раз атаке подвергся сайт и форумы самой компании vBulletin. При этом хакерам удалось похитить данные сотен тысяч пользователей (на 29 октября 2015 года участниками форумов являлись 334 581 человек).
По состоянию на 7:50 утра 3 ноября 2015 года официальный сайт vBulletin, а также форумы компании по-прежнему не работают, вместо них отображается сообщение о том, что проводится некая «профилактика».
Ответственность за взлом, осуществленный вчера, 2 ноября 2015 года, взял на себя некто, скрывающийся под ником Coldzer0. Официальный сайт хакера (да, у него был официальный сайт и профиль в LinkedIn) сообщал, что его настоящее имя Мохамед Осама (Mohamed Osama) и себя он описывал как:
«Вирусный аналитик, ИБ-исследователь, реверс инженер, Лидер Delphi Team в Orbit Shield Инструктор\тренер в Orbit Shield / SQunity».
После взлома vBulletin, Coldzer0 оставил за собой визитку (см. иллюстрацию ниже), а также опубликовал на YouTube видео, доказывающее, что он получил доступ ко всему, к чему только мог. Впоследствии видео было удалено. Также хакер разместил подробные скриншоты, как доказательство взлома, у себя в Facebook, но аккаунт тоже вскоре был удален:
Судя по этим скриншотам, Coldzer0 сумел получить доступ к базам с ID пользователей, их полным именам, email-адресам, контрольным вопросам и ответам (и то и другое в незашифрованном виде), а также соли паролей. Еще один скриншот-доказательство:
Атакующий утверждал, что для взлома компании он использовал некий 0day. На данный момент вся информация о взломе удалена, а сайт «исследователя», равно как и его страницы в социальных сетях, были вычищены после того, как информация попала в прессу, и ее начали обсуждать в сети.
Между тем, издание Vietnamese сообщило (английская версия доступна через Google translate), что Coldzer0 взломал также форумы компании Foxit Software, похитив данные о 260 000 аккаунтов (всего форумы насчитывают 537 000 пользователей).
Порталу DataBreaches.net хакер сообщил, что команда безопасности vBulletin, это вообще прошлый век, ведь они не заметили подозрительный трафик и шелл, который Coldzer0, очевидно, внедрил на сервер компании (предположительно, использовав SQL-инъекцию).
Официальных комментариев об инциденте компании vBulletin и Foxit Software пока не дают.
Фото: Businessinsider
