vBulletin漏洞暴露了2700万个帐户,其中包括mail.ru上的游戏玩家

LeakedSource在周三披露了11个新数据泄露事件

vBulletin中最近利用的软件漏洞已在近十二个网站上暴露了超过2700万个帐户。

大多数受感染的帐户都与mail.ru上的三个游戏相关联。除游戏帐户外,expertlaw.com上还有超过190,000个帐户,而gameforum.com上还有超过100,000个帐户。

合并,受损的mail.ru域 允许LeakedSource添加25,133,805个帐户 在星期三访问他们的数据库。在收到通知时,他们设法破解了12,463,300个密码。

受损的mail.ru帐户最近(2016年8月)公开,来自公司的游戏部门。 CFire,Parapa和Tanks帐户均已暴露。帕拉帕论坛也受到影响。

除密码外,mail.ru记录还包括用户名,电子邮件地址,电话号码和IP地址。遭到入侵的其他帐户包括用户名,电子邮件地址,IP信息,密码和生日。

LeakedSource说:“没有一个网站使用适当的密码存储,他们都使用了MD5的某些变体,无论有没有独特的盐。”

所有受感染的域都在运行未修补的vBulletin软件,该软件使攻击者可以将vBulletin安装在4.2.2或4.2.3之前的Forumrunner加载项中的SQL注入漏洞作为目标。 这些问题在六月修补.

此外,最近的安全更新影响了受感染域上运行的相同软件版本 于8月1日发行,如果被利用,将允许恶意附件上传。

“可惜的是,这种妥协并不令人惊讶。公司常常知道有价值的应用程序和系统易受攻击,但是由于存在中断操作以应用修复程序的风险,因此无法正确修补关键漏洞。它们的行为导致赌博他们将不会被黑客入侵。” Bay Dynamics首席技术官兼联合创始人Ryan Stolte在一份声明中说。

“ IT和安全团队也没有与管理这些高价值资产的业务线应用程序所有者进行协调和沟通,以使他们对补救漏洞负责。在其他情况下,他们在执行操作时仅存在操作中断漏洞扫描,找出哪些应用程序和系统易受攻击,但是这些漏洞没有根据风险资产的价值以及谁拥有该资产来确定优先级并正确进行路由。”

除了mail.ru域之外,其余的2,315,283个帐户在通过相同方法破坏了以下域之后也被公开:

  • expertlaw.com
  • ageofconan.com
  • anarchy-online.com
  • freeadvice.com
  • gamesforum.com
  • longestjourney.com
  • ppcgeeks.com
  • thesecretworld.com(EN)
  • thesecretworld.com(FR)
  • thesecretworld.com(DE)

Salted Hash与mail.ru和其他人联系以发表评论。

为了回应LeakedSource的披露,Funcom.com(TheSecretWorld.com,AgeofConan.com,Anarchy-Online.com和LongestJourney.com背后的公司)发布了公告并向用户表示歉意。

该公司此后修补了易受攻击的vBulletin安装,但他们无法确定何时发生数据泄露。因此,他们已在每个受影响的论坛上重置了所有密码。

“很遗憾地通知您,数据泄露事件包括电子邮件地址,用户名以及与这些论坛上的论坛帐户相关联的加密密码。即使密码已加密,也可能会被破解,因此应视为泄露密码。请注意,论坛帐户和游戏帐户是分开的,并且使用不同的安全系统存储在不同的服务器上。游戏帐户并未受到损害,” Funcom.com声明解释.

专家法发言人在给Salted Hash的声明中说,他们无法在系统日志中找到成功数据泄露的证据,但他们将假设发生了最坏的情况。

“我确实修补了服务器和软件并维护了安全措施,但我没有发现成功入侵的证据,但是我们可以谈论的是在实施补丁之前发生的访问,该访问早于或未反映在我的补丁中日志”,发言人在电子邮件交流中说。

“我还无法从黑客网站上的数据库中生成某些唯一的电子邮件地址,但是,正如他们所说,明天又是一天,我必须假设发生了黑客行为。”

更新:

mail.ru的发言人说,泄露的密码无效。但是,该公司未解决Salted Hash发送的有关数据泄露的任何问题。他们的完整声明如下:

“ LeakedSource提到的密码不再有效。它们是Mail.Ru Group多年来获得的游戏项目论坛的旧密码。长期以来,所有Mail.Ru Group的论坛和游戏都一直在使用安全的集成授权系统。到现在为止。这些密码从未以任何方式与公司的电子邮件帐户和其他服务相关。”

更新2(8/25/16 0800 EST):

LeakedSource的发言人在回应mail.ru昨天的声明时说,在检查包含凭证的数据泄露时,最重要的问题之一是“这些密码是否有效?”。

因此,mail.ru的声明是“类似于Microsoft购买Minecraft,将用户整合到Microsoft Live中,然后原始Minecraft密码被盗的情况。是的,Microsoft Live虽然没有被黑客入侵,但是数据仍然具有高度相关性和重要性。”

为了回应Salted Hash的后续问题,mail.ru指控LeakedSource行为不公平,对其披露不负责任。

“我们从媒体上发现了这一事件,LeakedSource向其提供了此信息,这违反了响应式披露规则。世界各地的白帽黑客都采用了这种潜规则:在公开披露漏洞或泄漏之前,请先告知服务它提供了补丁的机会。” mail.ru发言人说。

“这是真正关心用户的工作方式。因此,我们认为实际上并不是用户的保护,LeakedSource担心的只是宣传和商业利润(来自因安全丑闻而吸引客户的客户以及订阅其服务的客户)他们非常积极地向参与此类事件的公司提供服务”。

当被问到密码重用的风险时,mail.ru说,这种风险始终是一个因素,该公司还将“也在数据库中检查密码的重用,如果我们发现任何匹配项,我们将阻止遭到入侵的帐户并迫使所有者通过访问恢复程序。”

谈到有关使用已知盐通过MD5存储密码的问题,mail.ru引用了其原始声明。

“正如我们在官方声明中所说,数据库包含Mail.Ru Group多年来收购的游戏项目论坛的旧密码。所有Mail.Ru Group的论坛和游戏使用安全集成授权系统已有很长时间了。到目前为止,这些密码从未以任何方式与公司的电子邮件帐户和其他服务相关。”

除了上面的评论之外,此故事还用受vBulletin漏洞影响的组织的其他声明进行了更新。

版权© 2016 IDG通讯,Inc.