Хакеры взломали форум популярного веб-комикса XKCD, похитив около 560 тыс. адресов электронной почты, IP-адресов, логинов и хешированных паролей. Сайт, который высмеивает обычные эпизоды из жизни программистов, математиков, инженеров, сам стал объектом чьей-то шутки. Исследователь безопасности Трой Хант (Troy Hunt), владеющий сайтом Have I Been Pwned (позволяет пользователям проверять, были ли их личные данные скомпрометированы утечкой), предупредил администрацию веб-ресурса о взломе. Сам Хант узнал об этом от белого хакера Адама Дэвиса (Adam Davies).
XKCD быстро закрыл свой форум и опубликовал короткое сообщение:
«Форумы XKCD в настоящее время отключены. Мы были предупреждены о том, что часть таблиц базы данных phpBB со списком пользователей обнаружены в утечке. Эти данные включают имена пользователей, адреса электронной почты, хешированные пароли, в некоторых случаях IP-адреса с момента регистрации. Форумы будут в режиме офлайн до тех пор, пока не убедимся в безопасности. Если вы являетесь пользователем echochamber.me/xkcd, вам следует немедленно сменить пароль для других учётных записей с похожими паролями».
Трой Хант отметил, что XKCD использовал phpBB – бесплатный веб-форум со свободным исходным кодом, и 58% украденных IP-адресов уже появились в базе данных сайта HIBP. Эксперты утверждают, что phpBB и другие DIY-платформы, являясь популярным выбором для фан-форумов в игровом сообществе, часто уязвимы к атакам из-за недостаточного обслуживания. Остаётся неизвестным, на какой версии phpBB работал форум XKCD.
Источник: Engadget