Kompromitacja administratora Mylog.pl
W ciągu ostatnich dni na SecurityFocus opublikowano informacje o poważnych błędach w popularnym forum – phpbb. W wyniku jednego z błędów wykrytych w środę 24.11 br. w forum popularnego pamiętnika internetowego Mylog.pl uzyskano dostęp do haseł użytkowników serwisu.
Osoba posługująca się w społeczności internetowej pseudonimem b3x nadesłała nam wtedy plik z hasłami blisko 35000 użytkowników serwisu, wliczając hasło administratora, który został powiadomiony o fakcie błędu w serwisie. Niestety reakcja administratora nie była natychmiastowa, odpisał w piątek 26.11 około godziny 18:00.
Nie ma w tym wszystkim nic zaskakującego, bądź irytującego, gdyby nie fakt iż administrator nie poczynił żadnych kroków prócz zaktualizowania dziurawego oprogramowania, aby zabezpieczyć dane swoich użytkowników. Na dzień dzisiejszy (czyli trzy dni po incydencie, i wiele dni po wykryciu błędu phpbb) hasło administratora pozostało niezmienione. Co w rezultacie daje takie same możliwości penetracji baz danych jakie miało miejsce trzy dni temu. Nie będę przytaczał hasła administratora, gdyż jest kompromitujące pod kątem jego domniemanej elitarności.
Dodam tylko iż na tę chwilę po połączeniu dwóch baz danych, które wtedy były rodzielone jest 40604 możliwych do wyciągnięcia danych użytkowników w formie (‚użytkownik’, ‚hasło’, ‚e-mail’, ‚miasto’). Reszta to konta normalnych użytkowników systemu. Nie wspomnę już o tym iż hasła są w postaci niehaszowanej. Dalsze komentarze są chyba zbędne.
-bash-2.05b$ ls -l mylog2.txt ; wc -l mylog2.txt
-rw-r–r– 1 gorion gorion 2375606 Nov 27 21:43 mylog2.txt
40604 mylog2.txt
Jako iż redakcja Hacking.pl, ani autor całej sprawy nie publikuje tych haseł, nie chcąc tym samym zaszkodzić użytkownikom serwisu Mylog.pl oraz dalszej kompromitacji administratora, wysoce wskazanym jest aby poczyniono w końcu kroki w kierunku zabezpieczeń.