Rubukkit восстановлен. А пароли всё-таки украли…

Это последняя (возможно?) статья о событиях 10 — 14 июля на Rubukkit.org.
Предыдущие статьи по теме:

• Взломан (сломан?) rubukkit.org. База форума уже гуляет по сети
• Продолжение истории Rubukkit: Ты с этим завязывай, брат, тут тебе не это

---

 

На четвёртый день после своего головокружительного падения форум rubukkit.org наконец-то восстановлен! На форуме опубликовано сообщение, озаглавленное «Безопасность вашего аккаунта». Неизвестный сообществу пользователь под ником Admin (судя по всему один из тех кто «не спал ночами») пишет:

Добрый день.
Ввиду действий извне, 10 июля 2017, на протяжении нескольких часов сайт был уязвим к взлому. К сожалению, злоумышленники успели получить доступ к личным данным пользователей.

Не смотря на то, что пароли были надежно зашифрованы, мы настоятельно рекомендуем сменить пароль, адрес почты, а также подключить двухфакторную авторизацию. Учтите, что злоумышленники также могли получить доступ к личной переписке.
Подсказка: используйте уникальный пароль, не повторяйте его на других ресурсах.

Руководство ресурса предприняло необходимые меры. Работа сайта восстановлена.

Если вы располагаете любой информацией о взломе или злоумышленниках, пожалуйста, напишите нам: тем самым вы поможете в расследовании преступления и наказании виновных по всей строгости уголовного кодекса.

С уважением,
Администрация RuBukkit

 

Интересно, что сообщение было создано во вторник, т.е. 11 июля, а открыт сервер был только этой ночью. Похоже, что-то заставило повременить администраторов с открытием.

Тем не менее, ничего нового нам не сообщили, при этом не была сделана одна очень важная вещь. Пользователям не было принесено извинения (и к этому я ещё вернусь). Их личная переписка гуляет по сети, их личные данные попали в руки не злоумышленникам, а в руки «любопытных», что возможно даже хуже. Теоретических злоумышленников могут интересовать логины, пароли, адреса email. А любопытных — возможность предать огласке личную переписку каких-то пользователей.

Кроме того, проблемы Rubukkit’а оказалась гораздо сложнее. Слитая база данных содержит список пользователей с именами и зашифрованными паролями. Тот факт, что пароли не хранятся в открытом виде, позволяет говорить о том, что пароль пользователя вряд ли станет известен желающим — любопытствующие вряд ли смогут его расшифровать. Но зато Admin умолчал об одном факте. Проблема с паролями может быть гораздо шире.

 

На рубукките действовал скрипт, ворующий пароли

Вчера со мной связался один из обладателей базы рубуккита. Он рассказал, что пытаясь настроить попавшие в его руки архив форума, обнаружил, что на rubukkit.org, на момент падения сервера, был встроен скрипт, который отправлял имена пользователей и их пароли на сторонний сайт.

В настоящее время, полюбоваться этим сприптом может каждый — достаточно открыть страницу rubukkit в кэше Google и просмотреть исходный код страницы.

 

Через какое-то время кэш будет обновлён новой информацией, однако пароли уже могли попасть в чужие руки. Как долго функционировал это скрипт неизвестно. Архивы форума на сайте Wayback Machine, сделанные позднее 10 января, не открываются. 10 января на форуме этого скрипта ещё не было.

Кстати, Admin’у вопрос об этом уже задали на форуме и он ответил следующее:

Наверняка большинство пользователей Rubukkit люди активные и современные. Они используют современные версии бразуеров и т.п. Можно ли так говорить о всех? Я не уверен. Есть новички, есть экспериментаторы, которые используют разные бразеры и разные операционные системы, есть пользователи различных мобильных устройств и планшетов, которые не всегда свободны в выборе ОС и браузера.

Вероятность того, что пароли попали в руки злоумышленников гораздо выше. И двухфакторная авторизация тут не спасёт. Да и не спасла бы. Поскольку база данных форума уже была использована для создания сайтов клонов и доступ к личным данным пользователя можно осуществить зная пароль с рубуккит.

В общем ситуация очень неприятная, и поэтому нужно поговорить ещё и о том, о чём забыла упомянуть администрация форума.

 

Ответственность

Два года назад похожий скрипт был обнаружен и на форуме bukkit.org. Тогда, решив проблему, администрация сделала следующее:

1. Разослала письма всем пользователям, чьи данные могли быть скомпроментированы, и вынудила сменить пароли.
2. Написала довольно подробное сообщение и принесла извинения пользователям.

Извинения — это то чего не могут позволить  себе произнести MJRamon и новоявленный Admin. «Это просто слова» — скажете вы? Нет, это не так. Это вопрос осознания человеком ответственности за свои дела. MJRamon не виноват в сложившейся ситуации. Это не он подсадил себе скрипт, ворующий пароли, это не он дал возможность скачать php-файлы. Однако, всё это произошло. И личные данные пользователей, которые доверились ему, пользуясь форумом как средством общения и частной переписки, попали в чужие руки. И он несёт за это ответственность.

Администрация форума должна принять все меры, чтобы этого не повторилось вновь. И она должна признать, что именно безответственное отношение стало причиной этих событий.

Форум использовал версию Xenforo, датированную 2014-м годом! За это время вышло множество обновлений и часть из них касалась именно безопасности.

Поэтому сложившаяся ситуация меня совсем не удивляет. Всё, что происходило на форуме ранее, показывает, что администраторы форума вспоминали о нём в момент каких-то чрезвычайных случаев, быстро пытались её исправить — это больше похоже на латание дыр, а потом вновь забывали о нём.

 

Поэтому мы с вами должны понимать, что администрация Rubukkit не несёт ответственность за сохранность пользовательских данных.

Ей по-большому счёту — плевать.

 

Что делать пользователям?

Это очень важный вопрос. Для себя я на него пока не ответил окончательно. Но очевидно следующее:

• Пароль нужно действительно сменить.
• Ситуация подобная этой, к сожалению, может повториться.

Поэтому, теперь я постараюсь свести личную переписку на рубукките к обмену контактами в соц.сетях или мессенджерах. На вопросы о своих плагинах, я будут отвечать исключительно в публичном пространстве — соответствующих темах форума.

Буду ли я посещать сайты-клоны рубуккита? Возможно буду. В зависимости от того, что они смогут предложить пользователям. Рубуккит явно устарел по формату общения «только про bukkit». Поэтому форумы с более широкой тематикой могут быть мне интересны.

Точный клон рубуккита интереса не представляет. Любые обращения в мой адрес, на таких форумах я буду игнорировать.

Также я думал создать себе личный форум для консультаций по плагинам, но скорее всего не буду этого делать. Мои плагины уже довольно старые, новых я пока писать не планирую. Поэтому нет смысла и заморачиваться.

 

Ввиду действий извне, 10 июля 2017, на протяжении нескольких часов сайт был уязвим к взлому. К сожалению, злоумышленники успели получить доступ к личным данным пользователей.