Des vulnérabilités logicielles récemment exploitées dans vBulletin ont exposé plus de 27 millions de comptes sur près d'une douzaine de sites Web.
La majorité des comptes compromis sont liés à trois jeux sur mail.ru. En plus des comptes de jeu, plus de 190000 comptes ont été exposés sur expertlaw.com, ainsi que plus de 100000 comptes sur gamesforum.com
Ensemble, les domaines mail.ru compromis ont permis à LeakedSource d'ajouter 25 133 805 comptes à sa base de données mercredi. Au moment de la notification, ils avaient réussi à déchiffrer 12 463 300 mots de passe.
Les comptes mail.ru compromis ont été exposés récemment (août 2016) et proviennent du côté des jeux de l'entreprise. Les comptes CFire, Parapa et Tanks ont tous été exposés. Les forums Parapa ont également été compromis.
Outre les mots de passe, les enregistrements mail.ru incluent les noms d'utilisateur, les adresses e-mail, les numéros de téléphone et les adresses IP. Les autres comptes compromis incluent les noms d'utilisateur, les adresses e-mail, les informations IP, les mots de passe et les anniversaires.
"Pas un seul site Web n'utilisait un stockage de mot de passe approprié, ils utilisaient tous une variante de MD5 avec ou sans sels uniques", a déclaré LeakedSource.
Tous les domaines compromis exécutaient un logiciel vBulletin non corrigé, qui permettait aux attaquants de cibler les vulnérabilités d'injection SQL dans le module complémentaire Forumrunner sur les installations vBulletin antérieures à 4.2.2 ou 4.2.3. Ces problèmes ont été corrigés en juin.
De plus, une mise à jour de sécurité récente ayant un impact sur les mêmes versions logicielles exécutées sur les domaines compromis a été publiée le 1er août, qui, si elle était exploitée, permettrait le téléchargement de pièces jointes malveillantes.
"Malheureusement, ce compromis n'est pas une surprise. Trop souvent, les entreprises savent que les applications et les systèmes de valeur sont vulnérables, mais en raison du risque de perturber les opérations pour appliquer un correctif, les vulnérabilités critiques ne sont pas correctement corrigées. Ce comportement entraîne un pari qui ils ne seront pas piratés », a déclaré Ryan Stolte, directeur technique et co-fondateur de Bay Dynamics, dans un communiqué.
"Les équipes informatiques et de sécurité ne coordonnent pas et ne communiquent pas non plus avec les propriétaires d'applications métier qui gèrent ces actifs hautement précieux afin qu'ils soient tenus responsables de la correction des vulnérabilités. Dans d'autres cas, il y a simplement une déconnexion opérationnelle où ils effectuent une analyse des vulnérabilités, identifiez les applications et les systèmes vulnérables, mais les vulnérabilités ne sont pas hiérarchisées et acheminées correctement en fonction de la valeur de l'actif à risque et du propriétaire de cet actif. "
En plus des domaines mail.ru, les 2315283 comptes restants ont été exposés après que les domaines suivants ont été compromis via les mêmes méthodes:
- expertlaw.com
- ageofconan.com
- anarchy-online.com
- freeadvice.com
- gamesforum.com
- longestjourney.com
- ppcgeeks.com
- thesecretworld.com (EN)
- thesecretworld.com (EN)
- thesecretworld.com (DE)
Salted Hash a contacté mail.ru et les autres pour obtenir des commentaires.
En réponse à la divulgation de LeakedSource, Funcom.com – la société derrière TheSecretWorld.com, AgeofConan.com, Anarchy-Online.com et LongestJourney.com – a publié un avis public et présenté ses excuses aux utilisateurs.
La société a depuis corrigé ses installations vulnérables de vBulletin, mais elle n'est pas en mesure de déterminer quand la violation de données s'est produite. En tant que tels, ils ont réinitialisé tous les mots de passe sur chacun des forums concernés.
"Nous avons le regret de vous informer que la violation de données comprend des adresses e-mail, des noms d'utilisateur et des mots de passe cryptés associés aux comptes de forum sur ces forums. Même si les mots de passe ont été cryptés, ils peuvent être piratés et doivent être considérés comme compromis. Il est important de notez que les comptes de forum et les comptes de jeu sont séparés et sont stockés sur des serveurs différents utilisant des systèmes de sécurité différents. Les comptes de jeu n'ont pas été compromis », explique le communiqué de Funcom.com.
Dans une déclaration à Salted Hash, un porte-parole d'Expert Law a déclaré qu'ils n'étaient pas en mesure de trouver des preuves d'une violation de données réussie dans leurs journaux système, mais qu'ils allaient supposer que le pire était arrivé.
"Je corrige le serveur et le logiciel et maintiens des mesures de sécurité, et je n'ai pas trouvé de preuve d'une intrusion réussie, mais nous pourrions parler d'un accès qui a eu lieu avant la mise en œuvre d'un correctif et qui est antérieur ou ne se reflète pas dans mon journaux », a déclaré le porte-parole dans un échange de courriels.
"Je n'ai pas encore été en mesure de produire certaines adresses e-mail uniques à partir de la base de données sur le site Web des pirates, mais, comme on dit, demain est un autre jour et je dois fonctionner en supposant que le piratage s'est produit."
Mettre à jour:
Un porte-parole de mail.ru dit que les mots de passe divulgués ne sont pas valides. Cependant, la société n'a répondu à aucune des questions envoyées par Salted Hash concernant la violation de données. Leur déclaration complète est ci-dessous:
"Les mots de passe mentionnés par LeakedSource ne sont plus valides. Ce sont d'anciens mots de passe pour les forums de projets de jeux que Mail.Ru Group a acquis au fil des ans. Tous les forums et jeux de Mail.Ru Group utilisent depuis longtemps un système d'autorisation intégré sécurisé. à l'heure actuelle. Ces mots de passe n'ont jamais été liés aux comptes de messagerie et aux autres services de l'entreprise. "
Mise à jour 2 (25/08/16 0800 EST):
Répondant à la déclaration faite hier par mail.ru, un porte-parole de LeakedSource a déclaré que l'une des questions les plus importantes à se poser lors de l'examen d'une violation de données comprenant des informations d'identification, est-ce que « ces mots de passe sont-ils ou étaient-ils valides? ''
Ainsi, la déclaration de mail.ru est "semblable à l'achat de Minecraft par Microsoft, intégrant les utilisateurs dans Microsoft Live, puis les mots de passe originaux de Minecraft volés. Ouais, c'est bien que Microsoft Live n'ait pas été piraté mais les données sont toujours très pertinentes et importantes."
En réponse aux questions de suivi de Salted Hash, mail.ru a accusé LeakedSource de ne pas avoir joué juste et d'être irresponsable dans leur divulgation.
«Nous avons découvert cet épisode dans les médias, auxquels LeakedSource a donné ces informations, enfreignant la règle de divulgation réactive. Cette règle tacite est utilisée par les pirates du chapeau blanc du monde entier: avant de divulguer publiquement une vulnérabilité ou une fuite, informez le service de cela pour donner l'occasion de le corriger », a déclaré un porte-parole de mail.ru.
«C'est ainsi que fonctionne le véritable souci des utilisateurs. Ainsi, nous supposons que ce n'est pas réellement la protection des utilisateurs dont LeakedSource s'inquiète, mais plutôt la publicité et le profit commercial (des clients attirés par eux à la suite des scandales de sécurité et des abonnements à leurs services. ils offrent très agressivement aux entreprises impliquées dans de tels épisodes). "
Interrogé sur le risque de réutilisation des mots de passe, mail.ru a déclaré qu'un tel risque est toujours un facteur et que la société "vérifiera également cette base de données pour la réutilisation des mots de passe et, si nous trouvons des correspondances, nous bloquerons les comptes compromis. et forcer les propriétaires à suivre une procédure de récupération d'accès. "
Parlant de questions concernant le stockage des mots de passe via MD5 avec des sels connus, mail.ru s'est référé à sa déclaration originale.
"Comme nous l'avons dit dans notre déclaration officielle, la base de données contient des mots de passe hérités pour les forums de projets de jeux que Mail.Ru Group a acquis au fil des ans. Tous les forums et jeux de Mail.Ru Group utilisent depuis longtemps un système d'autorisation intégré sécurisé. à l'heure actuelle. Ces mots de passe n'ont jamais été liés aux comptes de messagerie et aux autres services de l'entreprise. "
En plus des commentaires ci-dessus, cette histoire a été mise à jour avec des déclarations supplémentaires d'organisations compromises par la vulnérabilité vBulletin.
Commentaires
Laisser un commentaire