Обнаружен взлом форума

[polym0rph]

Сегодня ночью был обнаружен внедренный вредоносный код, суть которого сводилась к перехвату введенных данных при авторизации на форуме.

Такой способ позволяет получить пароли пользователей в открытом виде, т.к. в базе они все хранятся в виде хэшей и использовать их невозможно.

Предварительное расследование инцидента показало, что взлом произошел 8 августа, то есть все данные  учетных записей, которые логинились на форуме с 8 по 21 августа 2018 точно считаются скомпрометированными.

 

Но пока полной картины нет, я настоятельно рекомендую всем пользователям срочно сменить пароли на форуме, даже если в этот период они нигде не вводились.

Если вдруг такой же пароль использовался на других сервисах,  то их необходимо тоже срочно сменить.

 

Если не получается по каким-то причинам войти на форум или сменить пароль, пишите на admin@bits.media

 

1 BTC от меня лично тому, кто сольет с доказательствами взломщика. Ну вдруг кто-то чего-то случайно знает. Можно анонимно.

 

По мере появления новостей буду этот пост дополнять.

UPD. 23.08.2018

Утром 23.08 была произведена автоматическая смена пароля на случайную комбинацию в целях недопустить использование аккаунта мошенниками для тех аккаунтов, которые по логам использовали форму логина в опасный период и до этого момента не сменили пароль самостоятельно. После смены зайти со старым паролем на форум уже не получится. Всего таких пользователей оказалось чуть более 1200 человек.

Если вы попали в этот список, для восстановления доступа к форуму вы можете воспользоваться штатной функциональностью восстановления забытого пароля, установив свой собственный новый пароль с подтверждением через почту. В случае возникновения проблем с восстановлением доступа, напишите на адрес admin@bits.media и вам помогут.

 

Некоторые пользователи жаловались, что после смены пароля на других устройствах не удается войти с новым паролем, ошибка "Введённый пароль является некорректным. Попробуйте ещё раз (убедитесь, что Caps Lock выключен)." Пока что жалобы были на браузер Google Chrome.
Решением оказалось сбросить запомненный браузером пароль. По какой-то причине Chrome использует запомненный старый пароль, а не тот, что был введен по факту в форму логина.

[YoshCat]

О как! Шухер, господа!

[polym0rph]

@YoshCat К сожалению. Вот всю ночь уже разбираемся с данной ситуацией.

[TheFuzzStone]

@polym0rph , спасибо за оперативность. Пароль сменил.

 

27 минут назад, polym0rph сказал:

Если вдруг такой же пароль использовался на других сервисах

 

Если такие юзеры еще остались, тогда рекомендую к ознакомлению.

[Alex_kr]

А что если сейчас происходит взлом, от акка полиморфа пишет взломщик и через изменение паролей хочет выведать эти самые пароли?

[Uliss]

Done.

 

А прикольная капча установлена...

[kutulik]

 

Хотя не всегда их запоминаю 

[polym0rph]

@TheFuzzStone Опыт показывает, что таких довольно много. По крайней мере более 500 я лично заблочил, кого тут подобрали по чужим пертым откуда-то базам.

 

2 минуты назад, TheFuzzStone сказал:

спасибо за оперативность

Когда все подтвердилось и закрыли утечку, было принято решение сначала всех оповестить, потом уже дальше копать, т.к. тут напрямую может быть ущерб пользователям нанесен.

Дополнительно еще рассылка на почту будет.

[BoraBora]

А автологин это считается передачей логина\пароля? Т.е. я всегда захожу без ввода, хз может где-то идентификатор какой стоит. Короче, тоже поменял на всякий случай.

[polym0rph]

2 минуты назад, Alex_kr сказал:

А что если сейчас происходит взлом, от акка полиморфа пишет взломщик и через изменение паролей хочет выведать эти самые пароли?

Тогда у взломщика уже очень много прав, и в любом случае дело дрянь.

Только что, BoraBora сказал:

А автологин это считается передачей логина\пароля?

Нет, если живая сессия была и форум так пускал, ничего вводить не нужно было, то вариант утечки минимален.

Но пока еще не все нюансы раскопали, так что на всякий случай сменить пароль будет не лишним.

[BoraBora]

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

[kerk]

Только что, BoraBora сказал:

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

что жжёт?

[polym0rph]

Только что, BoraBora сказал:

Слушайте, а давайте под шумок активируем визибл тех, кто жмакает зелено-красную кнопочку?

Ну да, чтоб заодно еще срач пошел и репутационные войны, больше ада!

[Alex_kr]

В целом главное на ту почту, по которой зареган должен быть другой пароль чем на форуме и всё норм будет. Ну и популярыне сервисы типа пулов и кошей

[BoraBora]

@polym0rph так войны и так идут, только страдают больше "а вдруг это этот гад!" невиновные)) А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

@kerk та всегда найдется тот, кто писать не научился, но проявить себя хочется))

[Antei75]

@polym0rph  Вообще в таком случае нужно сразу  блокировать стандартную авторизацию и в принудительном порядке требовать смены пароля с подтверждением по мылу, иначе хз сколько акков уйдёт налево, ибо вполне вероятно, что некоторые юзеры не получат инфу о взломе в ближайшее время...

[kerk]

1 минуту назад, BoraBora сказал:

@polym0rph так войны и так идут, только страдают больше "а вдруг это этот гад!" невиновные)) А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

Да забей! Не стоит на это жизнь тратить 

[polym0rph]

1 минуту назад, Alex_kr сказал:

В целом главное на ту почту, по которой зареган должен быть другой пароль чем на форуме и всё норм будет. Ну и популярыне сервисы типа пулов и кошей

+ можно дополнительно поставить двухфакторную аутентификацию, это повысит уровень защиты.

 

2 минуты назад, BoraBora сказал:

А тут четко конкретному паразиту карму в унитаз слить, чтоб неповадно было)

Потом он в отместку то же самое делает, потом еще друзья подключаются и т.п. в итоге все сидят слитые в гораздо больших минусах чем сейчас, и недовольства и нарушений несравнимо больше. Зачем?

 

2 минуты назад, Antei75 сказал:

Вообще в таком случае нужно сразу  блокировать стандартную авторизацию и в принудительном порядке требовать смены пароля с подтверждением по мылу

Рассматриваем такой вариант. Но сначала было решено оповестить о ситуации.

[BoraBora]

@polym0rph разумный довод. но походу уже стоит ограничение на количество жмаканий в день (десяток или около того), должно помочь особо резвым)

@kerk та я не парюсь особо, просто задолбало постоянное кваканье днем и ночью, и лог сообщений уже даже не смотрю.

[polym0rph]

1 минуту назад, BoraBora сказал:

походу уже стоит ограничение на количество жмаканий в день (десяток или около того), должно помочь особо резвым)

Стоит. Ну будут все до лимита выгребать, каждый день как на работу ходить минусть на весь лимит. Короче, этого не будет.

 

Вообще систему репутации планируется полностью менять, но вот то форум DDoSят, то перебирают чужие базы, куча мошенников каждый день кого-то кинуть пытается, тут вот получилось заинклудить вредоносный код. И вот этим всем приходится заниматься в первую очередь, вместо того чтобы улучшениями форума заниматься.

[samuel]

Если у меня фейсбук авторизация, могу спать спокойно?

[polym0rph]

@samuel Думаю да.

[BoraBora]

@samuel лучше перебдеть, чем недобдеть.

@polym0rph да, тяжел админский труд! держитесь, мы в вас верим!

[Asatur]

Двухфакторка обязательна и куча проблем пропадает.

И хорошо хоть этот форум нормальный в отличие от того (не буду показывать пальцем), на котором не так давно уводили базу юзеров с паролями, и где мыло можно просто поменять из профиля без подтверждений...

[bitokshop]

Спасибо, что предупредили ?