Um hacker paquistanês chamado "H4x0r Hussy" conseguiu comprometer o fórum oficial do OpenSUSE.
O hacker conseguiu desfigurar o fórum /* defacement */ postando uma mensagem personalizada na página inicial, além de obter informações de contas de 79.500 usuários registrados, usando um exploit 0-day para o vBulletin, famoso software gerenciador de fóruns.
Um fato interessante é que o openSUSE ainda está usando vBulletin 4.2.1, que é vulnerável à falha /* que consegue injetar comandos como administrador */.
Segundo o hacker, o vBulletin 5.0.5 (versão mais recente) também é vulnerável a seu exploit zero-day e ainda não há nenhum patch disponível para corrigi-lo.
O hacker prometeu não divulgar o dump banco de dados, pois o objetivo é apenas para destacar a fragilidade da segurança de um site importante.
As senhas (não reais) foram obfuscadas pelo hacker. |
Os responsáveis pelo OpenSUSE acalmaram os usuários dizendo estão tomando providências e que usam single sign on (SSO) e que as senhas ficam armazenadas no Access Manager da NetIQ (serviço concentrador de logins).
May The Force be with You!
Fonte: The Hacker News
Nenhum comentário:
Postar um comentário