Обнаружен взлом форума

[SaN4]

а яндех браузер сам генерит пароли типа A6раKада6Pа при регистрации и сохраняет же их. не приходится запоминать )

полезно канешь только вот вопрос остается в безопасности самого браузера

[Helber]

10 минут назад, SaN4 сказал:

полезно канешь только вот вопрос остается в безопасности самого браузера

Я не стану рассуждать про кражу кук и сохраненных данных форм - не очень компетентен, только отмечу, что если браузер "полетит" без действий хакеров (например, юзер просто почистит куки), пароли окажутся там, где пребывают души нерожденных.

[polym0rph]

10 часов назад, scopus сказал:

@polym0rph   как то определил тогда,

Ну если был массированный скан, и есть успешные заходы в учетки, то я понимаю, что или пароль типа Qwerty123 или проходят по чужим пертым базам в надежде на юзеров, которые везде одинаковые пароли ставят.

Чтобы с таких учеток потом народ не кидали, я их блокирую. Если потом подает голос, что живой - тогда будем посмотреть)  А так чаще всего вскрывают какие-то старые брошенные учетки.

[rammendo]

@polym0rph, скажи, а если я зашел на форум и сижу, а еще кто-то в это же время войдет под моим именем с другой машины, меня выкинет из сеанса?

[izlevinv]

13 часов назад, YoshCat сказал:

в хромой запросил обновление пароля, сохранил

в браузере сохранил пароль?

[polym0rph]

25 минут назад, rammendo сказал:

а если я зашел на форум и сижу, а еще кто-то в это же время войдет под моим именем с другой машины, меня выкинет из сеанса?

Нет. Ты же можешь с нескольких компьютеров разных на форуме сидеть. И никого не выкидывает.

[Hellenic]

Переводите форум на блокчейн стима или графен и проблема взломов решена

Изменено 23 авг 2018, 23:49 пользователем Hellenic

[Helber]

24.08.2018 в 01:20, polym0rph сказал:

Нет. Ты же можешь с нескольких компьютеров разных на форуме сидеть. И никого не выкидывает.

@polym0rph , немного другой вопрос. Если я введу обычный пароль и код 2FA, войду, и в те же 30 секунд хакер введет только что украденные пароль и код - он тоже сможет войти?

Если да, это стоило бы запретить. Вряд ли много обычных людей логинятся практически одновременно с двух разных адресов и устройств.

 

Вообще же двухфакторку запилили вовремя. Если бы ее не было, число взломанных менял могло бы быть гораздо выше. Сегодня и вчера я проверил примерно по сотне последних тем в разделах Обменники и p2p, на предмет обнаружения подозрительных постов и переправленных реквизитов. Про темы, созданные именно в последние 2 недели, часто нельзя ничего говорить с уверенностью, но в более заслуженных всё тихо, мошеннические адреса телеги и т.п. никто вроде не пытался вставлять. Только один явно подозрительный случай на глаза попался

Ну, и конечно, остаются те взломанные акки, которые не проявили себя, как описано выше.

 

Вдобавок, какие аккаунты и сейчас, после сброса паролей, теоретически все еще могут находится под чужим контролем: жулик зашел, поменял почту в акке на свою, потом владелец изменил пароль (или пароль сбросили централизованно, как описано выше) - но почта-то в акке уже левая.

 

Не знаю, есть ли реально такие случаи. Мониторьте свои профили и истории входов.

Изменено 25 авг 2018, 19:28 пользователем Helber
Уточнение формулировки

[Rabbit_PGN]

Такой проблемы в дальнейшем не предвидеться??

[polym0rph]

1 час назад, Helber сказал:

Если я введу обычный пароль и код 2FA, войду, и в те же 30 секунд хакер введет только что украденные пароль и код - он тоже сможет войти?

Да.

Хотя на практике это маловероятно. Насколько я помню код инклуда, 2fa кстати не собирали пароли. Гораздо более частое событие, что утаскивают дамп базы, из него берут 2fa ключ и в любой момент могут генерить правильные коды авторизации.

 

1 час назад, Rabbit_PGN сказал:

Такой проблемы в дальнейшем не предвидеться??

Гарантий отсутствия подобных проблем не имеет ни один сервис. И покажите хоть один большой сервис, который не взламывали. Но мы делаем сейчас все, чтобы усилить защиту и чтобы это больше не повторилось.

[Alex_kr]

Заметил уже несколько аккаунтов, которые зареганы давно, а тут вдруг активизировались, при том как-то уж очень по-тупому, во флейме начали сообщения набивать или что?

вот пример

https://forum.bits.media/index.php?/profile/34299-владлена/

 

Как это может быть связано со взломом?

3 часа назад, polym0rph сказал:

И покажите хоть один большой сервис, который не взламывали.

отож

[YoshCat]

14 часов назад, izlevinv сказал:

в браузере сохранил пароль?

йа йа

[izlevinv]

@YoshCat спереть могут

[CrhLmQSPNRntDIt]

печально однако

[YoshCat]

9 часов назад, izlevinv сказал:

@YoshCat спереть могут

Спереть могут все и везде.

[Ainz]

@CrhLmQSPNRntDIt У вас, похоже, поля ника и пароля перепутаны.

[Lexis77]

3 часа назад, YoshCat сказал:

Спереть могут все и везде.

Не все! Свои убеждения могу только продать! Но такую сумму еще не придумали озвучили! 

[Инвестиции]

О какой атаке речь?

Из всего написанного я так понял, кто то заюзал активную XSS, поставил JS сниффер на логин, верно?

Но поскольку тут пишут про всякие инклуды, это сбивает с толку, проникновение на сервер было? И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

[Simba]

1 час назад, Инвестиции сказал:

О какой атаке речь?

Из всего написанного я так понял, кто то заюзал активную XSS, поставил JS сниффер на логин, верно?

Но поскольку тут пишут про всякие инклуды, это сбивает с толку, проникновение на сервер было? И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

Скорее всего кто то через рекламный банер воткнул, просто так xss не заюзать, либо же сам движек  форума дырявый.

[polym0rph]

2 часа назад, Инвестиции сказал:

И как следствие, сниффер был проставлен непосредственно в серверный PHP код?

Да, воткнули в php коод.

[Ainz]

4 минуты назад, polym0rph сказал:

Да, воткнули в php коод.

 

Значит, ЛС и хэши паролей следует считать скомпрометированными.

Так положено.

[polym0rph]

7 минут назад, Balthazar сказал:

Значит, ЛС и хэши паролей следует считать скомпрометированными.

К сожалению, вероятность этого довольно высока.

[Ainz]

6 минут назад, polym0rph сказал:

К сожалению, вероятность этого довольно высока.

О вероятности тут говорить не приходится. Обнаруженный "взлом" был просто отвлекающим маневром, своего рода финальный аккорд когда уже всё нужное было сделано. Такое намеренно делается топорным образом, дабы 100% обнаружили и возникло впечатление того, что взломщик некомпетентен и смог только поставить сниффер. И даже не возникла мысль о том что утекло куда больше данных, чем несколько сотен собранных сниффером паролей.

Изменено 25 авг 2018, 04:04 пользователем Balthazar

[Helber]

3 часа назад, polym0rph сказал:

К сожалению, вероятность этого довольно высока.

Прискорбно. Внесете в первый пост дополнения насчет компрометации ЛС?

[AlexShmalex]

14 минут назад, Helber сказал:

Прискорбно. Внесете в первый пост дополнения насчет компрометации ЛС?

 

Это итак очевидно и вытекает из первого поста. Естественно слили БД, кому тут нужен этот сниффер паролей - тут же не магазин где люди карты вбивают.
А вообще этот 2фа от гугла подарок для взломщиков, брут хешей снова набирает актуальность. Люди не вникают как оно работает, считают панацеей от всех атак и ставят простейшие словарные пароли, не подозревая что БД с ключами 2фа лежит на сервере рядом с хешами паролей.