Xakep #305. Многошаговые SQL-инъекции
Nexus Mods — крупнейшая в интернете база данных различных игровых модов. Здесь можно найти как простые скины для оружия, так и масштабные моды, которые вообще изменят оригинальную игру до неузнаваемости. Комьюнити ресурса насчитывает порядка 10 млн человек. Слух о том, что база пользователей Nexus Mods просочилась в сеть, ходит с декабря 2015 года. К сожалению, теперь эта информация подтвердилась: скомпрометированы почти 6 000 000 аккаунтов.
Впервые об утечке стало известно, когда простой пользователь Reddit призвал всех посетителей Nexus Mods сменить пароли. Оказалось, он случайно наткнулся в сети на дамп БД Nexus Mods. Один из администраторов ресурса связался с этим Reddit юзером, внимательно изучил базу, и на следующий день всем пользователям сайта разослали уведомления с просьбой сменить пароль. База оказалась настоящей.
Один из администраторов ресурса — Dark0ne официально сообщил, что дамп пользователя Reddit содержит информацию об аккаунтах, зарегистрированных раньше 22 июля 2013 года. Информация в БД действительно подлинная, но изрядно устаревшая: данных свежее 2013 года там нет.
Финансовая информация пользователей Nexus Mods не пострадала. База содержит только имена пользователей, email-адреса, хеши и соль паролей. Пароли в виде открытого текста в сеть не попадали.
Dark0ne объяснил, что злоумышленники сумели скомпрометировать аккаунты трех пользователей Nexus Mods, имевших очень простые пароли. Все три учетные записи принадлежали авторам различных модов, так что хакеры загрузили на серверы Nexus Mods моды собственного производства, не вызывая при этом подозрений. Под видом легитимных файлов на серверы попала малварь.
Вредоносное ПО позже использовали для атаки, целью которой было получение БД сайта. Никаких подробностей Dark0ne не сообщает, неизвестно, использовали атакующие бэкдор или простую SQL-инъекцию.
Ситуацию можно считать разрешенной, так как администрация Nexus Mods уже уведомила пользователей об инциденте и попросила сменить пароли.
Известный эксперт в области информационной безопасности и владелец ресурса «Have I've Been Pwned?» Трой Хант (Troy Hunt) рассказал, что довольно давно некто пытался продать ему базу пользователей Nexus Mods в даркнете. Покупать базу Хант не стал и теперь, спустя время, данные попали к нему в руки совершенно бесплатно: базу прислал какой-то аноним.
Сайт «Have I've Been Pwned?» уже проидексировал полученную информацию, добавив её к другим крупным дампам. Хант сообщает, что в базе содержались сведения о 5 915 013 пользователях, что ставит ее на пятое место после утечек данных Adobe, Ashley Madison, 000webhost.com и Gamigo.