Nos dias de hoje, os hackers se tornaram mais sofisticados, forçando as empresas que lidam com grandes quantidades de dados de usuários (senhas e nomes de usuários) a usar paredes bem fortificadas como um meio de guiar quantidades valiosas de dados sendo armazenados em servidores e bancos de dados.
Apesar dos enormes esforços que incluem o investimento de tempo e dinheiro, os hackers parecem sempre encontrar brechas para explorar, como foi o caso de uma recente experiência de violação de segurança da Canonical em seu banco de dados do Fórum.
Na sexta-feira, 14 de julho, o banco de dados do Ubuntu Forums banco de dados foi comprometido por um hacker que conseguiu obter acesso não autorizado, passando pela segurança barreiras colocadas para lidar com situações como esta.
Canonical imediatamente iniciou uma investigação para determinar o ponto real do ataque e quantos dados do usuário foram comprometidos. Foi confirmado que alguém realmente obteve acesso ao banco de dados do Fórum por meio de um ataque que ocorreu às 20:33 UTC em 14 de julho de 2016, e o invasor conseguiu fazer isso injetando certo SQL formatado nos servidores de banco de dados que hospedam os fóruns do Ubuntu.
“Uma investigação mais profunda revelou que havia uma conhecida vulnerabilidade de injeção de SQL no complemento Forumrunner nos Fóruns que ainda não havia sido corrigida”, disse Jane Silber, CEO da Canonical. “Isso deu a eles a capacidade de ler qualquer tabela, mas acreditamos que eles só liam da tabela ‘usuário’.”
De acordo com o relatório publicado em insights.ubuntu.com, os esforços do invasor deram a ele acesso para ler qualquer tabela, exceto investigações adicionais levar a equipe a acreditar que eles só conseguiram ler a tabela "usuário".
Este acesso permitiu que os hackers baixassem uma “parte” da tabela de usuários que continha tudo, desde nomes de usuários, endereços de e-mail e IPs pertencentes a mais de dois milhões de usuários, mas a Canonical garantiu a todos que nenhuma senha ativa foi acessado porque as senhas armazenadas na tabela eram strings aleatórias e que os Fóruns do Ubuntu usam o que é chamado de “Single Sign On” para logins de usuários.
Ubuntu Linux
O invasor baixou as respectivas sequências aleatórias, mas, felizmente, essas sequências foram adulteradas. Para deixar todos à vontade, a Canonical disse que o invasor não conseguiu acessar o repositório de código do Ubuntu, o mecanismo de atualização, nenhuma senha de usuário válida ou obter acesso remoto de gravação SQL ao banco de dados.
Além disso, o invasor não conseguiu obter acesso a nenhum dos seguintes itens: aplicativo Ubuntu Forums, servidores front-end ou qualquer outro serviço Ubuntu ou Canonical.
Para evitar certas violações no futuro, a Canonical instalou o ModSecurity nos fóruns, um Web Application Firewall e melhorou o monitoramento do vBulletin.