В сеть утекли данные 170 тысяч участников форумов Comodo

Компания Comodo выпустила предупреждение безопасности, проинформировав пользователей, что киберпреступники могли получить доступ к базе данных форума. В уведомлении сообщается:

Совсем недавно стало известно о новой уязвимости в форумном движке vBulletin, который является одним из самых популярных серверных решений для системы комментирования и который использовался на форумах Comodo.

Уязвимость vBulletin оказалось критической и несложной в эксплуатации. Информация об уязвимости стала общедоступной примерно неделю назад, а обнаружена была около трех лет назад.

После того, как код эксплойта появился в сети, злоумышленники начали проводить атаки на форумы на базе vBulletin. Один из ботнетов даже защитил серверы после успешной компрометации за счет изменения уязвимого кода таким образом, чтобы при выполнении команды требовался пароль.

Comodo предупредила пользователей

Comodo сообщает, что хакеры провели успешную эксплуатацию уязвимости vBulletin в воскресенье, 29 сентября, в 04:57 EST (в 11:57 MSK), и их действия привели к «потенциальной утечке данных на форумах Comodo».

Расследование инцидента находится на ранней стадии. Компании еще предстоит установить, каким образом был получен доступ к персональным данным.

Форум Comodo forums.comodo.com построен на базе проекта с открытым исходным кодом Simple Machines Forum, а vBulletin используется на другой площадке forum.comodo.com с меньшим числом пользователей, посвященной обновлениям продуктов. Форум системы управления ITarian от Comodo forum.itarian.com также использует vBulletin. На нем зарегистрировано более 45 тысяч пользователей. Все они также получили аналогичное предупреждение.

Comodo поясняет, какие данные могли быть раскрыты:

Аккаунты пользователей на форумах содержат такую информацию, как имя пользователя, адрес электронной почты, IP-адрес, который использовался для доступа к форуму в последний раз, а также в редких случаях связанные профили в социальных сетях.

В уведомлении сообщается, что пароли были украдены в зашифрованном виде, но пользователям все-равно рекомендуется сменить их в качестве меры предосторожности.

В открытой продаже

На веб-ресурсе, где пользователи обычно продают базы данных в случаях утечек, неизвестное лицо предложило дамп с адресами электронной почты и паролями более чем 170 тысяч пользователей форумов Comodo. По данным Comodo, на форумах компании зарегистрировано около 245 000 пользователей.

В описании «товара» сообщается, что дамп был получен с форумов Comodo на базе Simple Machines Forum и содержит актуальные на 29 сентября 2019 года данные. Также сообщается, что пароли зашифрованы с использованием алгоритма MD5, который имеет много уязвимостей и легко подвержен взлому.

Порталу BleepingComputer удалось заполучить образец базы данных и провести проверку подлинности. Большинство пользователей в базе являлись неактивными пользователями форумов Comodo. Однако, один из пользователей оказался активным участником форума. Он сообщил, что указанный в базе данных адрес электронной почты принадлежит ему и является действительными, а затем подтвердил подлинность и других персональных данных аккаунта.

Полный объем пользовательских данных не установлен, но доступный образец включал следующий набор данных:

• ID (уникальный идентификатор)
• name (имя пользователя)
• country (страна)
• IP address of the last login (IP-адрес, который использовался при последнем входе)
• password (пароль и его модификатор для хеш-функции)
• birth date (дата рождения)
• security question (секретный вопрос)
• security answer (хешированный ответ на секретный вопрос)
• registration date (дата регистрации)
• messenger usernames (имена пользователя в мессенджерах)
• total time logged in (общее время входа в систему)

Часть информации присутствовала только у пользователей, которые ее предоставили.

Портал BleepingComputer запросил у Comodo разъяснения подробностей взлома. Мы будем обновлять статью по мере получения новой информации.