phpBB.com viens juste d'être hacké :
http://www.phpbb.com/index.php

Maintenance

We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation. phpBB.com and related sites will remain unavailable while we work to recover. No vulnerabilities have been found in the phpBB software itself.

You can download phpBB here: http://www.ohloh.net/p/phpbb

You can get support at the temporary support forums or on IRC: chat.freenode.net #phpbb

– the phpBB team

La bonne nouvelle est que la faille ne viens pas de phpBB3.
Espérons tout de même que cela ne causera pas trop de mal de tête au phpBB group.

Je me demande vraiment ce qui est prouvé quand on hack un script pas à jour, et encore plus quand il s'agit d'un site comme phpBB.com

SeO a écrit:Je me demande vraiment ce qui est prouvé quand on hack un script pas à jour, et encore plus quand il s'agit d'un site comme phpBB.com

Rien, mais certaines personnes n'ont pas besoin de raison valable pour emmerder le monde.
Et puis, en étant vraiment tordu, on peut toujours suspecter un "concurrent" de vouloir jouer à "qui a la plus grosse ?"


Mathieu.

le but peut être de recupérer les mots de passe des utilisateurs d'après ce qui est dit dans leur info.
Sur phpbb3, il y a un hashage donc pas de possibilité de revenir en arriére. Ce n'était pas le cas sur phpbb2. Or, les utilisateurs qui ne se sont pas connecté depuis la transition vers phpbb3 ont toujours l'ancien mot de passe dans la base de donnée. Il n'est pas en clair mais il est réversible si on y met du temps.
Beaucoup de gens ont le même mot de passe partout.

a priori le forum de http://www.flying-bits.org/ s'est fait spammé , il doit y avoir une petite porte quelques part aussi sur phpbb3

Oui c'est vrai, et ils ont apparement précisé leur récupération de données en fonction de l'état du mot de passe (non convertit donc).
Mais bon, on imagine mal le directeur du FBI avec un compte sur phpBB.com, et encore moins avec le même mot de passe que pour le bouton rouge, donc ... cela fait pas mal d'effort pour pas grand chose à priori.

Les utilisateurs qui ne se sont jamais connectés depuis la conversion de phpBB.com (plus d'1 an déjà) doivent pour une part non négligeable ne plus correspondre à grand chose d'important ou d'intéressant pour un hacker.
Il n'y a pas non plus d'infos de paiement (type visa etc), et pas besoin du mot de passe (ni de la db de phpbb.com d'ailleurs) pour spammer, donc non, je ne vois toujours pas vraiment l'intérêt de la démarche (intérêt étant entendu dans le sens malveillant bien sûr).

Par contre, cette indisponibilité de phpBB.com coïncide avec la diffusion (qui pourrait être assez massive) d'un script de spam capable de déjouer le captcha de phpBB (le problème remonte pas mal depuis). On pourrait donc imaginer un lien, le hack comme façon de gagner du temps sur un correctif du captcha, et de spammer un max de forum phpBB dans l'intervalle ...

Salut,

SeO a écrit:et de spammer un max de forum phpBB dans l'intervalle ...

Et je peux dire que ça y va à la manoeuvre..

Jusque maintenant, ça venait d'Allemagne et maintenant, les USA s'y mettent..

We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation.

"Aujourd'hui", le message est différent, ce n'est plus la faute a un prog pas a jour mais a un exploit 0-day:

We are sorry to report that we have been attacked through a 0-day-exploit in our PHPList installation (responsible for the mailing list about new releases).

SeO a écrit: d'un script de spam capable de déjouer le captcha de

j'ai remarquer que pour la première fois de la semaine je me suis fait spammer dans un forum avec accès libre pour poster.

Depuis que j'ai mis le catchpa avec un peu plus de bruit pas de soucis.

Bizarre tout ca, on verra si on a plus d'explications

gowap a écrit:

We are sorry to report that we have been attacked through a vulnerability in an outdated PHPList installation.

"Aujourd'hui", le message est différent, ce n'est plus la faute a un prog pas a jour mais a un exploit 0-day:

We are sorry to report that we have been attacked through a 0-day-exploit in our PHPList installation (responsible for the mailing list about new releases).

C'est que le phpBB Group (les pauvres quand même) ont tout d'abord pensé qu'ils étaient en quelques sorte responsables car ils n'avaient pas maintenu à jour phplist. Enfin, plus précisément parce qu'à ce moment, ils pensaient avoir eu trois jour de retard sur la mise à jour.
Hors, il s'avère qu'ils ont été hacké bien avant, par un petit malin qui a lu le rapport de vulnérabilité de phplist sur milw0rm le jour de sa sortie, et qui, se rappelant que phpBB.com utilisait phplist, l'a exploité.

Le phpBB Group ne pouvait donc rien faire pour prévenir cela, la faille ayant été divulguée et utilisée pas mal de jours avant qu'un patch soit fourni et que l'info ait vraiment tournée sur la faille.

Total, c'est un script kiddie membre de phpBB.com qui nous vaut d'avoir tous (les membres de phpBB.com) eu nos email, et pour certains leur mot de passe, divulgués publiquement.

Vraiment un gros naze ce type.

++