Ресурс haveibeenpwned.com, отслеживающий факты компрометации учётных записей, опубликовал (https://haveibeenpwned.com/PwnedWebsites) сведения о взломе сайта сообщества LinuxForums.org (https://en.wikipedia.org/wiki/LinuxForums.org), который произошёл 1 мая и привёл к утечке базы пользователей, включающей имена, Email, IP-адреса и хэши паролей пользователей.
В руки атакующих попали сведения о 275 тысячах учётных записей. Пароли были прохэшированы при помощи ненадёжного алгоритма MD5 с использованием соли (https://ru.wikipedia.org/wiki/%D0%A1%D0%.... Утверждается, что на сайте использовалась старая версия движка vBulletin, уязвимость в котором была использована для взлома (в своё время через уязвимости в vBulletin взломам подвергались форумы Ubuntu (1 (https://www.opennet.dev/opennews/art.shtml?num=44793), 2 (https://www.opennet.dev/opennews/art.shtml?num=37553)), openSUSE (https://www.opennet.dev/opennews/art.shtml?num=38803) и NVIDIA (https://www.opennet.dev/opennews/art.shtml?num=34324)). Администраторы LinuxForums.org пока не опубликовали заявление о взломе, а также игнорируют все попытки связаться с ними по этому вопросу.URL: https://www.reddit.com/r/linux/comments/8pe70u/change_your_l.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=48742
Ну охренеть теперь. Кто-то взломал форум на старом движке. При этом ущерб не насенён. Да такое каждый день по 100 раз случается.
> Ну охренеть теперь. Кто-то взломал форум на старом движке.Стухл, ты неправильно читаешь новость: "ну охренеть теперь, линyпсфорумс был на тухлом движке и с админом из контингента опенне...простите, линyпсфорумсов". Действительно, ничего удивительного.
Стухл
> При этом ущерб не насенён.Ущерб нанесён 275 тысячам пользователей LinuxForums.org.
> Пароли были прохэшированы при помощи ненадёжного алгоритма MD5 с использованием соли.В реальности эта "ненадежность" означает, что паролям, не входящим в словарь часто используемых, ничего не грозит.
мальчикам-с-феноменальной-памятью ничего не грозит, ага.У всех остальных пароли подбираемы, и вряд ли существенно отличаются на разных сайтах.
Открой для себя менеджеры паролей.
Какой порекомендуете?
Я юзаю на базе KeePass. Открытый стандарт, множество реализаций. Есть на андроид. Интегрируется с андроидовским хранилищем паролей. Поддерживает работу через DropBox.
И чем не устраивает?
Молодец, все правильно делаешь. Только в DropBox все-равно не надо. И вообще в инет сливать. Если совсем не можешь без этого, то Nextcloud поднимай.
>Только в DropBox все-равно не надоПодсказать, где заказать хорошую шапочку из фольги?
> Какой порекомендуете?
> Я юзаю на базе KeePass. Открытый стандарт, множество реализаций. Есть на андроид.
> Интегрируется с андроидовским хранилищем паролей. Поддерживает работу через DropBox.ну я и говорю - "подарить дядям".
Одновременно гуглю, дряньбоксу и еще хз кому в процессе.Не, ну они ж зуб дают, у них все надежно?!
keepassx 0.4Размера кода мал, читается за вечер, соответственно, лично верифицирован. Стабилен, нет никаких свистелок.
Уже не развивается, замени на KeePassXC
>keepassxcкто разработчики? Чем оно лучше keepassx2?
По крайней мере, более удобным, современным дизайном и нативной поддержкой Linux и Mac OS.
https://github.com/keepassxreboot/keepassxc
https://launchpad.net/~phoerious/+archive/ubuntu/keepassxc
KeePassXC is a cross-platform community fork of KeePassX. Our goal is to extend and improve it with new features and bugfixes to provide a feature-rich, fully cross-platform and modern open-source password manager.
Просто KeePassX вообще кривой какой-то. Лучше уж обычный KeePass юзать тогда.
Клоун чем он крив то? Лучше него(и KeePassXC) и BitWarden ничего нет всё равно.
> Какой порекомендуете?pass юзай. Это стандартный менеджер паролей nix. Все в gpg, git из горобки, emacs начиная с 26 умеет в него.
это чтоб проcpать все свои пароли разом (или подарить дядям)?ты эти менеджеры хоть раз верифицировал, или тупо apt install, ok, ok ?
apt install из оф. репозиториев Debian Stable чем не устраивает? Не все ж могут лично изучать исходный код.
> мальчикам-с-феноменальной-памятью ничего не грозит, ага.
> У всех остальных пароли подбираемы, и вряд ли существенно отличаются на разных сайтах.У меня три-четыре легко вспоминаемых пароля, которые, действительно, используются на разных сайтах.
Например, на тех, где мне наплевать на взлом учетки, а также тех, на которых меня вынудили регистрироваться, хотя мне это не нужно - пароль Password. Феноменальная память как-то не требуется.Если не помню, какой пароль у меня на конкретном сайте - просто перебираю этот короткий список по очереди.
Есть учетки, взлом которых реально опасен для меня. Это онлайн-банки, админки сайтов, личные кабинеты подключенных на них платежных систем и т.п. Такие пароли хранятся в браузере под мастер-паролем, а на пожарный случай - в простом текстовом файле в контейнере TrueCrypt. Опять-таки, внезапно, никаких подвигов по части мнемоники...
Ну, и естественно, вторая группа учеток никак не пересекается с первой - это не те логины и пароли, которые можно взять и вынуть с какого-нибудь форума, где я бываю...
> У меня три-четыре легко вспоминаемых пароля, которые, действительно, используются на разныхкак и у всех (кроме мальчиков с феноменальной памятью, хранящих свою память в дропбоксе, гугле и еще где-то там. И ставящих "из официального репозитория дебиана" - то есть дистрибутива, уже разок образцово-показательно обоcpавшегося в области безопасности - редкий случай, когда не разработчики, а именно пакователь пакета умудрился из безобидной ситуации сделать уязвимость)
> Например, на тех, где мне наплевать на взлом учетки, а также тех,
> на которых меня вынудили регистрироваться, хотя мне это не нужно -в лучшем случае это может кончиться баном - когда от твоего имени просто начнут гадить.
В худшем - визитом товарища майора и его команды, если что-то серьезное. (ибо серьезные парни, понятно, тоже с удовольствием используют подобные утечки)> Есть учетки, взлом которых реально опасен для меня. Это онлайн-банки, админки сайтов,
у _правильного_ онлайн-банка взлом учетки безопасен - ну сможешь ты узнать что у меня дохрена денег на маскированном счет...эээ...что я дохрена должен банку. И что делать с этой информацией?
Остальное требует оффлайн-верификации. Банков, у которых она таки оффлайн, мне лично известно два, и во втором уже не получится, только для старых клиентов, и то с ограничениями.
Раньше был еще райф, но, кажется, тоже сплыл.> личные кабинеты подключенных на них платежных систем и т.п. Такие пароли
> хранятся в браузере под мастер-паролем, а на пожарный случай - ви вот понадобилось срочно перевести денег (братан помирает, ухи просит) - а браузер дома, с мастер-паролем. А ты нет. Кстати, этот кусок в мазилле сто лет не трогали, есть разные мнения по поводу его надежности.
> простом текстовом файле в контейнере TrueCrypt. Опять-таки, внезапно, никаких подвигов
ввести один раз пароль с подконтрольного безопасникам, взломавших безопасников, саутсорсивших безопасников, наблюдающих через потолочную камеру, наблюдающих за наблюдающими - я могу. Пароль потом поменяю, если банк не из тех двух.
Вводить пароль от контейнера и совать флэшку со _всем_ нажитым непосильным трудом в этот компьютер - идите нафиг.И вот хз что с этим делать :-(
Всюду таскать с собой недокомпьютер с туннелем в защищенную сеть, где мастер-пароли уже введены?
> И вот хз что с этим делать :-(
> Всюду таскать с собой недокомпьютер с туннелем в защищенную сеть, где мастер-пароли
> уже введены?Забить. Жить и наслаждаться жизнью. Поменьше соприкасаться со щупальцами социальных сетей и современных программных продуктов. Обычный дешёвый ПК и программы для него уже были почти совершенны двадцать лет назад, с тех пор не изобретено _ничего_ по-настоящему нужного, без чего нельзя было бы обойтись. Фотошоп номер 5,5 и Офис-95 не дадут соврать.
Вы знаете, когда я излагаю свою давно работающую практику, а человек в ответ начинает строить теории, никакого отношения к моей жизни не имеющие - мне как-то в лом разжевывать каждый пункт.
Например, я не пользуюсь смартфоном и переводить деньги откуда попало и вдруг в любом случае не собираюсь... но вас же эта информация разве что побудит к новым размышлениям об иной, более правильной жизни? Право, не увеличивайте энтропию.
Могу поделиться с атакующими своим аккаунтом на опеннете.
L: Аноним
P:
> vBulletin
> PHP
Свежие версии vbulettin выглядят прилично вебдванульно в стиле соц.сетей. Здесь виноваты владельцы форума что обмазываются Gовном мамонта.
>в стиле соц.сетейможет поэтому и не обновлялись.
Свежие версии vbulettin ломают ничем не хуже старых, мирок пхп разработчиков такой больно умный...https://cve.circl.lu/cve/CVE-2017-17672
Ломают потому что популярный + тонны скрипткиддисов обходят по списку ботами перебирая все подряд хаки.
>> vBulletin
>> проприетарь
vBulletin - это печально. Позор таким гoвном пользоваться.
> игнорируют все попытки связаться с ними по этому вопросуПлачут, поди. Мечтают о надёжном докере и профессиональных девопсах.
просто у нас почта тоже паламалася...
Теперь Линус должен написать движок для форума как он в свое время написал git.
И никакого DOM в браузере, только чтобы из консоли разработчика можно было строчить.
А потом кто-нибудь символ пайпа запостит…
Даёшь гипертекстовый векторны!... wait, oh shi--
А как же волшебный фак? Главная движущая сила)
Жаль, хороший был ресурс, без кармадр... Чем-то ЛОР напоминал, но с более приличным сообшеством :))
Почему "был"? Он вроде бы никуда не делся. Хеши паролей с солью хацкеры могут пытаться отреверсить сколько хотят - крипту майнить выгоднее ИМХО.С другой стороны, по поводу какой проблемы я бы ни гуглил, ни яндексил - никогда решение не находилось на домене linuxforums.org. Никогда!
> С другой стороны, по поводу какой проблемы я бы ни гуглил, ни
> яндексил - никогда решение не находилось на домене linuxforums.org. Никогда!может, он просто хреново индексируется?
хотя, на мой взгляд, оно не об этом вообще.
Ты сказал слово на букву Л? Аноним скатился, несите нового)
Такое прямо ощущение,что никто из присутствуюищх никогда vBulletin вживую изнутри не видел. Прекрасно понимаю (но не одобряю) почему владельцы форума сидели на старом движке. Никто не пользуется ванильным vBulletin, практически все обвешивают его всевозможными модами которые доступны, в основном, легальным покупателям движка. Собтвенно именно за это большинство и платит, если без модов то можно с тем же успехом SMF ставить например.Проблема же в том, что, во первых, моды все как на подбор коряво, вручную ставятся, хотя эту проблему вроде собирались порешать, а во вторых, рано или поздно разработчик мода на него забивает.
Ну и переносимость между крупными обновлениями движка тоже не очень, чаще всего без доработки\переработки не заработает.
Вот и становится для форума обвешанного модами каждое обновление головной болью, а уж если мод больше не поддерживается...
> Такое прямо ощущение,что никто из присутствуюищх никогда vBulletin вживую изнутри не видел.слушай, ну я прямо щаслив в своем неведении (а ведь был, был шанс познакомиться вплотную)
> Ну и переносимость между крупными обновлениями движка тоже не очень, чаще всего
> без доработки\переработки не заработает.п-ц :-(
то есть даже vanilla не переносится между версиями? Учитывая размер базы lfo - кажется, я понимаю, почему они там на письма не отвечают...
Ванилла переносится, но бывало и такое, что при апгрейде все ломалось, так как там даже апгрейд довольно глючный (был, как минимум). Самый надежный способ апгрейда - установка новой копии и импорт данных из старой.
Ссылка будет на файл с паролями или опять шумиха вокруг фейка?
Сколько читал за ласт лет 8 что пыха дырявая так и не пойму накой на неё дронькают все.
Надо юзать современное типо Discourse. Остальное не нужно.