maanantai 18. heinäkuuta 2016

Ubuntun virallinen, yli kahden miljoonan käyttäjän foorumi hakkeroitiin

Ubuntun virallinen, yli kahden miljoonan käyttäjän foorumi hakkeroitiinCanonicalin kehittämän Ubuntu Linux jakelun tukifoorumi (ubuntuforums.org) on hakkeroitu. Yli kahden miljoonan käyttäjän sähköpostit sekä IP-osoitteet ovat päätyneet ryöstäjien saaliiksi.

Kyseessä on samanlainen tapaus mikä sattui heinäkuussa 2013, tuolloin foorumista kopioitiin 1.8 miljoonaa käyttäjätunnusta.

Canonical sai tiedon tapahtuneesta 14.7.2016 kun eräs eräs ylläpitäjä huomasi että joku leveili omaavansa foorumin tietokannasta täydellisen kopion.

Ylläpitäjät aloittivat heti perusteellisen tutkinnan ja huomasivat että tietoa on vuotanut ulkopuolisille, tämän jälkeen foorumi ja kaikki siihen liittyvät toiminnot suljettiin varotoimenpiteenä hetkeksi aikaa ja tutkimuksia jatkettiin, nyt selvisi muun muassa se kuinka tietoihin oli päästy käsiksi.

Hakkerit olivat hyödyntäneet niin sanottua SQL-injektio tekniikkaa jonka avulla hakkerit voivat hyödyntää tiettyjä tai tietynlaisia tietoturva-aukkoja SQL-tietokantaan, injektion avulla dataa pystyttiin myös kopioimaan.

Tietoturva-aukko jota injektiolla hyödynnettiin oli foorumin Forum Runner -lisäosassa joka takaa sujuvan käytön myös mobiililaitteilla.

Mitä hyökkääjä sai:

Hakkerit saivat käsiinsä koko foorumin käyttäjätietokannan joka sisälsi käyttäjien profiilinimet,sähköposti-osoitteet sekä IP-osoitteet joista viimeisin kirjautuminen on tehty, myöskin salasanat ovat paketissa mukana mutta Canonical sanoo että ne ovat ovat suolattu sekä suojattu erikseen vielä hajautusalgoritmilla (salted & hashed), joten salasanoja ei välttämättä pysty hyödyntämään.

Mitä hyökkääjä ei saanut:

Canonical ilmoittaa ettei Ubuntun lähdekoodin ole päästy foorumilta saaduilla tiedoilla, tämä tarkoittaa sitä että Ubuntun ja sen virallisten variaatioiden ISO-tiedostot ovat koskemattomia. (Huom!) suosittelen silti tarkistamaan niiden tarkistussummat ennen niiden käyttämistä.

Vuoden 2013 tapauksen erotuksena on kuitenkin se että nyt Canonical ei usko että hyökkääjä olisi saanut oikeuksia foorumin ulkoasun muuttamiseen, vuonna 2013 hyökkääjä muutti foorumin etusivun.

Korjauksia käytäntöihin ja palvelimiin:

Canonical rakensi foorumialustansa alusta saakka uudelleen ja asensi siihen ja käytettäviin lisäosiin viimeisimmät päivitykset.

Ylläpitäjät myös paransivat foorumin sekä tietokantapalvelimen tietoturvaa lisäämällä tietoturvaa parantavia sovelluksia niihin, ylläpitäjät on nyt myös velvoitettu seuraamaan paremmin foorumiin liittyviä tietoturvapäivityksiä ja ottavan ne nopeammin käyttöön.

Foorumi on jälleen pystyssä ja toimii normaalisti, myös kaikki keskustelut ovat palautettu uuteen järjestelmään varmuuskopioista.

LÄHDE: Canonical