Dva miliony hesel z Ubuntu Forums uniklo

Uživatelé, kteří často navštěvují diskuzní fórum Ubuntu Forums, si budou muset změnit svá hesla, neboť podle všeho dva miliony z nich unikla.

Jane Silber, Vedoucí Canonicalu, společnosti, které fórum spravuje, v pátek oznámil, že díky chybě SQL a jednomu addonu, který nebyl opatchován, došlo k hackerskému útoku.

Údajně však žádná zcizená hesla nebyla zneužita.

Útočník měl díky chybě v SQL možnost vytáhnout z databáze libovolnou tabulku s jakýmikoli daty, avšak soustředil se pouze na jednu a to byla tabulka, na nichž byla uživatelská jména, hesla a IP adresy dvou milionů uživatelů. Útočník prý stahoval části tabulky, avšak během stahování se některá hesla stihla změnit, jiné se stihly zahashovat a ochránit metodou "kryptografické soli", čili mělo by být obtížnější je rozšifrovat.

Silber dále tvrdí, že tento útočník naštěstí nebyl schopný získat žádné hesla z operačního systému Ubuntu.

Silber si není úplně jistý, ale věří, že útočník snad nezískal práva číst a měnit SQL, ani přístupy do žádných jiných služeb Ubuntu nebo Canonical.

Canonical začal tento incident řešit už ve čtvrtek, když jeden člen rady Ubuntu Forums společnosti oznámil, že se jim někdo ozval s tím, že má kopii databáze. Společnost následně potvrdila, že došlo k úniku dat.

Bylo nutné zresetovat celý systém, administrátorská hesla a nainstalovat ModSecurity - což je open source firewall.

Podle všeho je to druhý největší únik dat za poslední roky. Před třemi lety došlo k podobnému a tehdy uniklo 1.8 milionů hesel.

Zdroj: Threatpost