ВАЖНО: Утечка данных с офф сайта simplemachines.org

[Mavn]

20 июля 2013 года с офф сайта simplemachines.org была благополучно украдена база данных со всеми пользовательскими данными. В связи с этим рекомендуем сделать следующее:

1. Поменять пароль на офф сайте
2. В случае если вы используете этот пароль где-то еще, то поменять пароль везде где он использовался.
3. Если вы когда то передавали свои пароли на фтп или еще куда через личку или еще как то на офф форуме то поменяйте и их тоже


Все пароли пользователей содержаться в зашифрованном виде, но они с некоторой вероятностью могут быть дешифрованы поэтому на всякий случай советуем поменять свои пароли.

База была украдена через взлом аккаунта одного из администраторов офф сайта.
Для кражи базы не использовалась уязвимость в самом SMF.

http://www.simplemachines.org/community/index.php?topic=508232.0

[trijin]

Можно узнать способ шифрования пароля который был применен? md5? с Солью, с динамичной солью?

[plintus]

Ужас! У меня тоже недавно кто-то по FTP щарился, а я думал как залезли? Давно украли? У меня лазили примерно 2 недели назад.

[kak2z]

Ужас! У меня тоже недавно кто-то по FTP щарился, а я думал как залезли? Давно украли? У меня лазили примерно 2 недели назад.

на оффе и фтп одинаковые пароли?)

[Slavegirl]

Думаю, волноваться особо не о чем. Расшифровать пароли пользователей смогут разве что типа "12345" или "qwerty". Больше беспокоиться не о чем. Разве что о личной переписке, которая хранится в базе данных в незашифрованном виде. Когда-то я здесь уже писала, что не нужно через систему личных сообщений на публичных форумах передавать конфиденциальную информацию. Скорее всего, злоумышленники первым делом будут читать личку на предмет наличия паролей/ключей/платежных реквизитов и т.п.

[jek_recluse]

Спасибо, за оперативное уведомление!
Сделано!
С официального сайта до сих пор ничего не пришло...

[kak2z]

Думаю, волноваться особо не о чем. Расшифровать пароли пользователей смогут разве что типа "12345" или "qwerty". Больше беспокоиться не о чем. Разве что о личной переписке, которая хранится в базе данных в незашифрованном виде. Когда-то я здесь уже писала, что не нужно через систему личных сообщений на публичных форумах передавать конфиденциальную информацию. Скорее всего, злоумышленники первым делом будут читать личку на предмет наличия паролей/ключей/платежных реквизитов и т.п.

совершенно верно, полностью согласен))

[oduvanchik]

2. В случае если вы используете этот пароль где-то еще, то поменять пароль везде где он использовался.

Шутники, "поменять пароль везде", это значит поменять пару сотен паролей)

База была украдена через взлом аккаунта одного из администраторов офф сайта.

разве что типа "12345" или "qwerty".

[-ExotiC-]

Благо не зарегистрировался на оффе

[voldemar227]

20 июля 2013 года с офф сайта была благополучно украдена база данных со всеми пользовательскими данными. В связи с этим рекомендуем сделать следующее:

1. Поменять пароль на офф сайте
2. В случае если вы используете этот пароль где-то еще, то поменять пароль везде где он использовался.
3. Если вы когда то передавали свои пароли на фтп или еще куда через личку или еще как то на офф форуме то поменяйте и их тоже


Все пароли пользователей содержаться в зашифрованном виде, но они с некоторой вероятностью могут быть дешифрованы поэтому на всякий случай советуем поменять свои пароли.

База была украдена через взлом аккаунта одного из администраторов офф сайта.
Для кражи базы не использовалась уязвимость в самом SMF.

http://www.simplemachines.org/community/index.php?topic=508232.0

Я бы сделал так
1. Поменять пароль на офф сайте
2. В случае если вы используете этот пароль где-то еще, то поменять пароль везде где он использовался.
3. Если вы когда то передавали свои пароли на фтп или еще куда через личку или еще как то на офф форуме то поменяйте и их тоже
4. Смените форум SMF на другой любой форум где таких детских ошибок не бывает ....

[trijin]

4. Смените форум SMF на другой любой форум где таких детских ошибок не быва

каких таких?

[oduvanchik]

каких таких?

Видимо это:

База была украдена через взлом аккаунта одного из администраторов офф сайта.

смогут разве что типа "12345" или "qwerty"

[kak2z]

4. Смените форум SMF на другой любой форум где таких детских ошибок не бывает ....[/color]

тогда надо планету менять, там где нет людей, ибо люди всегда допускают ошибки)))

Шутники, "поменять пароль везде", это значит поменять пару сотен паролей)

поменять там где такой пароль используется.. Вы что используете одинаковый пароль в 100 местах одновременно??) у меня на каждый сайт, базу, фтп свои разные пароли) 

[bursiv]

Как вы *******, могли прое**** всю базу с нашими паролями! Слов нет!!! 

[kak2z]

Как вы гандоны, могли проебать всю базу с нашими паролями! Слов нет!!! 

почитайте выше)) там не пароли, а хеши)) если у Вас пароль не 1234567 то никто Ваш пароль не узнает)) радужные таблицы все таки не лекарство от всех бед))

[oduvanchik]

поменять там где такой пароль используется.. Вы что используете одинаковый пароль в 100 местах одновременно??) у меня на каждый сайт, базу, фтп свои разные пароли)

В 100 мест одновременно я не смогу физически зайти. Сайты у меня поделены по важности, сайты общей важности, используют один пароль (конечно же не 1234 или qwerty). Сайты высокой важности, включая базы и фтп - индивидуальные пароли, которые я не помню в голове и храню в укромном месте.

Я думаю вопрос в том, как можно было допустить такую простую утечку на форуме, на котором обговариваются эти доступные решения. Отсюда у некоторых пользователей и слаживается мнение, что форум детский, ибо не могли решить детские вопросы, в плане безопасности.

[iaroslav]

Как вы гандоны, могли проебать всю базу с нашими паролями! Слов нет!!! 

И не "вы", а "они".
ЭТот форум к тому имеет мало отношения. Внизу этого форума не зря написано.

This site is not affiliated with or endorsed by Simple Machines ®. Этот сайт не является аффилированным лицом Simple Machines ® и никак официально не связан с Simple Machines ®.

[Dian]

Грусть, печаль ..

[Idrassil]

Что тут за наркоманы отписываются в темах (я про bursiv и voldemar227), такое впечатление, что школота на каникулах не знает себя чем занять.

Во-первых, уязвимостей в SMF не нашли, слили через пасс админа. Может человек на троян где-то попал. Человеческий фактор есть везде, и от этого не спасет никакой супер-движок. Тем более, в популярной говнобулке уязвимостей всегда много (не знаю, почему ее так любят школьники).

Во-вторых, шифрование  в SMF, насколько мне помнится, sha1 (sha1($user_settings['passwd'] . $user_settings['password_salt'])) + соль. Т.е. расшифровать такое не так уж просто, и если вы не модер/админ, никто не будет заморачиваться с вашим негодным профилем.

p.s. год назад на сплоите продавали рут к mysql.com. По вашей логике мускуль тоже дырявый насквозь?

[webserfer]

поменять там где такой пароль используется.. Вы что используете одинаковый пароль в 100 местах одновременно??) у меня на каждый сайт, базу, фтп свои разные пароли) 

Голова не перевешивает при ходьбе?

[kak2z]

Голова не перевешивает при ходьбе?

вообще то люди изобрели не так давно бумагу на которой можно записывать пароли)

[webserfer]

kak2z, но позвольте, зачем тогда пароль, если кто угодно может прочесть его с бумаги??

[kak2z]

kak2z, но позвольте, зачем тогда пароль, если кто угодно может прочесть его с бумаги??

у меня не такие уж и глобальные супер секретные проекты что бы кто то вваливался в мой дом и целенаправленно искал записи с паролями))

[iaroslav]

Что тут за наркоманы отписываются в темах (я про bursiv и voldemar227), такое впечатление, что школота на каникулах не знает себя чем занять.
Во-первых, уязвимостей в SMF не нашли, слили через пасс админа. Может человек на троян где-то попал. Человеческий фактор есть везде, и от этого не спасет никакой супер-движок. Тем более, в популярной говнобулке уязвимостей всегда много (не знаю, почему ее так любят школьники).
Во-вторых, шифрование  в SMF, насколько мне помнится, sha1 (sha1($user_settings['passwd'] . $user_settings['password_salt'])) + соль. Т.е. расшифровать такое не так уж просто, и если вы не модер/админ, никто не будет заморачиваться с вашим негодным профилем.
p.s. год назад на сплоите продавали рут к mysql.com. По вашей логике мускуль тоже дырявый насквозь?

Может просто люди, достаточно далёкие от IT. Вот и не совсем понимают значение некоторых терминов. Например "через взлом аккаунта одного из администраторов офф сайта". Вот и возникают опасения, что эта страшная фраза- описание какого-то глюк самого движка...
Ну или просто не сильно внимательные люди, которые что взломали увидели. А как именно не заметили...
P.S. Стоит заметить, что эксплойт недавно всё-таки публиковали. Правда эксплойт требует админских куков (если я правильно понял, конечно же)...

kak2z, но позвольте, зачем тогда пароль, если кто угодно может прочесть его с бумаги??

Это легко исправить, не оставляя свои записи на видном месте. 
Кстати ещё в инетрнете есть севисы по хранению паролей. То есть там указывается один мастер пароль, который даёт доступ к сервису. А на личном аккаунте вы можете хранить сколько угодно паролей. Многие пользуются, заводя себе для каждого ресурса персональный пароль. Да ещё и оный пароль не выдумывая а генерируя специальными програмками...
Если не доверяете веб сервисам то простой зашифрованный файлик того же экселя (или какое-нибудь самописное решение на тех же делфях) смогут предоставить вам сходные возможности.

[Mavn]

простой зашифрованный файлик того же экселя

вскрывается на раз два
у мну для паролей контейнер шифрованный и куча всяких етокинов рутокенов

[kak2z]

блокнотик и ручка)) и никто не хакнет по инету)

[webserfer]

kak2z, таки это выглядит ни разу не безопасней, чем один пароль на все.

Если не доверяете веб сервисам

Зрите в корень.
Я все же, как oduvanchik - юзаю несколько разных паролей для разных сервисов. И храню их в самом безопасном месте)

[kak2z]

kak2z, таки это выглядит ни разу не безопасней, чем один пароль на все.

мне кажется безопаснее чем использовать везде один пароль)))

[iaroslav]

вскрывается на раз два
у мну для паролей контейнер шифрованный и куча всяких етокинов рутокенов

В описанном мной случае с экселем имеет место быть защита от чего-то, что тырит пароли, лежащие в открытом доступе. Ровно как и от случайных любителей почитать ваши документы с вашего же компьютера...
А касательно супер защиты паролей ещё давным-давно на баше шутка была.

На админ хвастался, что для взлома его паролей потребуется несколько лет интенсивной работы многих компьютеров.
На практике маски-шоу "узнали" пароль за 5 минут, 3 минуты из которых они привязывали админа к стулу...

[webserfer]

мне кажется безопаснее чем использовать везде один пароль)))

Везде один вообще в принципе не выйдет

А на месте кулхацкера я бы начал с мыла, там еще секретный вопрос встречается...

[oduvanchik]

txt файлик с паролем, помещённый в бесплатный  7z  архив с паролем и никто не достанет ваши "коды доступа")))))

[iaroslav]

Зрите в корень.Я все же, как oduvanchik - юзаю несколько разных паролей для разных сервисов. И храню их в самом безопасном месте)

Если вы про голову то возможны разные неприятные моменты.
Я, например, на память ни разу не жалуюсь но как-то раз у меня была ситуация что я забыл какой-то важный пароль. При чём совсем капитально забыл.
В общем грустная история получилась.

txt файлик с паролем, помещённый в бесплатный  7z  архив с паролем и никто не достанет ваши "коды доступа")))))

Но тут уже проблема в том, что его муторно распаковывать/запаковывать когда дописываешь новые или меняешь старые.

[bursiv]

но они с некоторой вероятностью могут быть дешифрованы поэтому на всякий случай советуем поменять свои пароли.

Данное высказывание: "с некоторой вероятностью", означает, что все подвержены взлому.

И не "вы", а "они".
ЭТот форум к тому имеет мало отношения.

Согласен. Но я высказывался более к ситуации в целом, а не к админам данного сайта.

Что тут за наркоманы отписываются в темах (я про bursiv и voldemar227), такое впечатление, что школота на каникулах не знает себя чем занять.

Имею диплом ПО... Вот только не могу понять, какие притензии ты ко мне имеешь, что смеешь мразь Idrassil меня наркоманом называть? Предъявы конкретно ко мне в чем?

Вы что используете одинаковый пароль в 100 местах одновременно??)

Как видно из нежесказанного с офф сайта, именно так делает тупорылый админ оффSMF:

The method used by the hacker is that a database is downloaded from another hacked website, the passwords are attempted to be decrypted and if it is successful: they try to login to other websites using that username & password, or try to cross-reference by using password reset links.
Unfortunately for us, a Administrator used the same password elsewhere on another site and access to our site was obtained when the password from the other hacked site was successfully decrypted.

Поэтому считаю свои высказывания полностью обоснованными. И могу добавить еще пару матов в их адрес...

[Фисташка]

bursiv,
+1

[andrewks]

я так понял, украли аккаунты с http://www.simplemachines.org, но не с http://www.simplemachines.ru ?

[digger®]

я так понял, украли аккаунты с http://www.simplemachines.org, но не с http://www.simplemachines.ru ?

[iaroslav]

я так понял, украли аккаунты с http://www.simplemachines.org, но не с http://www.simplemachines.ru ?

Да, вы совершенно верно поняли.

[stundr]

интересно это как то связно со спамом, который начал более часто появляться на почте в последние пару дней

[Idrassil]

iaroslav, если человек не шарит в чем-либо, то он должен сидеть тихо, а не обзывать всех гандонами и советовать что-либо.

По теме - пароли лучше хранить в программе keepass (гуглите).

Если эксплойт требует админских кук, то толку с него. Если бы без кук, то это фейл, а так - с куками любой напишет автозалив шеллов или еще что.

[digger®]

4. Смените форум SMF на другой любой форум где таких детских ошибок не бывает ....

31.07.2013 08:49  Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu.

Компания Canonical возобновила работу официального форума проекта Ubuntu и опубликовала отчёт с результатами разбора инцидента, в результате которого злоумышленникам удалось получить контроль над параметрами регистрации 1.8 млн пользователей. Атака была совершена через упущения в системе безопасности продукта vBulletin, используемого для организации работы форума. Непосредственно системное окружение на базе Ubuntu и сервисы проекта скомпрометированы не были.

На начальной стадии атаки атакующим удалось получить доступ к аккаунту одного из модераторов форума, имеющего право на публикацию анонсов. Далее атакующие воспользовались особенностью настройки движка форума, по умолчанию разрешающего использование HTML-разметки в тексте анонса, т.е. по сути допускающего совершение межсайтового скриптинга (XSS). Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов. Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin.

Далее, используя возможность добавления обработчиков в панель управления, атакующие смогли организовать выполнение произвольного PHP-кода, что позволило установить Shell Kit и запускать любые команды на сервере с правами пользователя "www-data". Root-доступ получить не удалось, тем не менее, достигнутого уровня проникновения было достаточно для загрузки полной базы пользователей, включающей хэши паролей и адреса электронной почты. Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.