…. 1 semana após de ser atacado. Conheça o que aconteceu.
O ataque ao Ubuntu Forum oficial foi eficaz! Como resultado, foram mais de 1,8 milhões de credencia de acesso roubadas, que incluem usernames+ e-mails + passwords…um número simplesmente impressionante. Todos nós sabemos que não existe segurança informática perfeita mas, segundo informações, nem foi preciso muito engenho para conseguir tal proeza.
Em informações publicadas na Internet por James Troup da Canonical, as causas que permitiram ao atacante obter nada mais que 1.820.000 usernames + e-mails + passwords cifradas estão relacionadas com o software Vbulletin e com uma conta de moderador que foi comprometida.
At 16:58 UTC on 14 July 2013, the attacker was able to log in to a moderator account owned by a member of the Ubuntu Community.
This moderator account had permissions to post announcements to the Forums. Announcements in vBulletin, the Forums software, may be allowed to contain unfiltered HTML and do so by default.
The attacker posted an announcement and then sent private messages to three Forum administrators (also members of the Ubuntu community) claiming that there was a server error on the announcement page and asking the Forum administrators to take a look.
Com estas duas prováveis vulnerabilidades, o atacante conseguiu acesso total ao ambiente de gestão do Vbulletin (a partir do qual o atacante acedeu à base de dados do site e obteve todos os dados da tabela user) e também acesso, via terminal, ao diretório www-data, onde estava toda a estrutura do forum.
As passwords não estavam em plain text mas mesmo assim a Canonical reforçou a necessidade de alterarem a passwords em outros serviços (caso fosse a mesma que usavam no Ubuntu Forums). Serviços como o Ubuntu One e Launchpad não tinham sido afectados por tal vulnerabilidade.
The attacker had full access to the vBulletin environment as an administrator and shell access as the ‘www-data’ user on the Forums app servers.
Having administrator access to the vBulletin environment means they were able to read and write to any table in the Forums database.
They used this access to download the ‘user’ table which contained usernames, email addresses and salted and hashed (using md5) passwords for 1.82 million users.
Este foi provavelmente um dos ataques mais graves na história da Canonical mas até ao momento não há indicações que essas informação tenham sido usadas. Quanto à base de e-mails é capaz de render uns bons trocos no “mercado” da mailing lists.
