Разработчики опенсорсного медиаплеера Kodi восстанавливают свой MyBB форум после хакерской атаки. Злоумышленники похитили базы данных, содержащие записи, личные сообщения и учетные данные пользователей, а затем попытались продать украденную информацию.
Закрытый в настоящее время форум Kodi насчитывает около 400 000 участников, которые использовали эту площадку для обсуждения потоковой передачи мультимедиа, обменивались советами, делились аддонами и суммарно написали более 3 млн постов.
Согласно официальному заявлению разработчиков, хакеры похитили базу данных форума, войдя в консоль администратора с учетными данными неактивного сотрудника. Злоумышленники успешно создали резервные копии БД и скачали уже существующие бэкапы.
«Журналы администратора MyBB показывают, что учетная запись доверенного, но в настоящее время неактивного члена команды администраторов использовалась для доступа к веб-консоли администратора MyBB дважды: 16 февраля и снова 21 февраля, — гласит официальное заявление команды. — Учетная запись использовалась для создания резервных копий БД, которые затем загружались и удалялись. Также были загружены существующие полные резервные копии базы данных».
Разработчики подчеркивают, что фактический владелец учетной записи не выполнял этих действий, и учетные данные сотрудника были украдены.
Похищенная БД содержит все публичные сообщения, оставленные на форумах, сообщения с форума для сотрудников, личные сообщения пользователей, а также данные всех участников форума, включая имена пользователей, email-адреса и зашифрованные (хешированные и соленые) пароли, сгенерированные MyBB 1.8.27.
Команда Kodi предупреждает, что все пароли следует считать скомпрометированными. Теперь администраторы планируют провести общий сброс паролей, а также сообщают, что намерены ввести в эксплуатацию новый сервер для форума и Wiki проекта (несмотря на отсутствие признаков компрометации существующих систем). Сообщается, что на переход к новейшей версии MyBB потребуется несколько дней.
Кроме того, команда Kodi планирует провести аудит безопасности и пентесты, как только форум заработает снова. Они призывают ИБ-профессионалов безвозмездно помочь проекту, поделившись опытом.
Также администраторы Kodi пошли на необычный шаг и предоставили агрегатору утечек Have I Been Pwned список адресов электронной почты, связанных с учетными записями на взломанном форуме. Как только эти данные будут загружены в Have I Been Pwned, его подписчики получат уведомления о том, что их email-адреса стали частью утечки данных.
По информации компании KELA, хакеры успели выставить похищенную базу данных Kodi Community Forum на продажу. Данные появились в продаже в феврале текущего года на ныне закрытом хакерском форуме Breached.
Продавец под ником Amius писал, что продает базу данных, датированную 15 февраля 2023 года и содержащую информацию о 400 314 участниках форума Kodi, включая информацию «многих реселлеров iptv». Он принимал предложения в частном порядке, через Telegram, поэтому точной информации о стоимости БД нет.
Источник: xakep