Nieaktualna instalacja vBulletin ma witrynę forum ZoneAlarm naruszoną przez hakerów

Powszechnie wiadomo, że nikt nie jest odporny na ataki cybernetyczne, a jeśli nadal potrzebujesz na to dodatkowego dowodu, możesz rzucić okiem na niektóre firmy zajmujące się bezpieczeństwem, którym cyberprzestępcy z powodzeniem zaatakowali. ZoneAlarm, spółka zależna Check Point, jest najnowszym przykładem.

Na początku tego tygodnia kilka serwisów informowało, że ZoneAlarm doznał naruszenia danych. Jedną z pierwszych rzeczy, na które należy zwrócić uwagę, jest to, że incydent nie ma szczególnego wpływu. Atakujący odwiedzają fora ZoneAlarm i ukradli dane osobowe należące do stosunkowo niewielkiej liczby użytkowników. Według The Hacker News intruzom udało się ukraść nazwiska, adresy e-mail, daty urodzenia i zaszyfrować hasła około 4500 osób.

ZoneAlarm zdjął całe forum, aby upewnić się, że jest bezpieczne, a po ponownym uruchomieniu w trybie online wymusi zresetowanie hasła dla wszystkich użytkowników. Jak zwykle, dotknięte osoby, które ponownie wykorzystały te same dane uwierzytelniające na innych stronach internetowych, powinny je również tam zmienić, pomimo faktu, że skradzione hasła są zakodowane i dlatego ich odzyskanie powinno być trudne (jeśli nie praktycznie niemożliwe).

Podsumowując, nie jest to koniec świata, ale jest kilka niepokojących aspektów tego incydentu, które mogą przypominać o tym, że nawet eksperci nie zawsze zachowują się tak, jak można się tego spodziewać, zarówno przed, jak i po takim incydencie.

ZoneAlarm decyduje się na jak najmniejszy hałas

Ani ZoneAlarm, ani Check Point nie wydały żadnych oficjalnych ogłoszeń dotyczących cyberataku. Nawet teraz, po tym, jak rzecznik przyznał, że nastąpiło naruszenie danych, uderzający jest brak szczegółowego raportu przekazywanego wszystkimi zwykłymi kanałami.

Niektórzy mogą powiedzieć, że naruszenie nie zasługuje na tak dużą uwagę, ponieważ liczba dotkniętych użytkowników jest ograniczona, a skradzione dane nie są szczególnie wrażliwe. Z tym argumentem wiąże się kilka problemów. Po pierwsze, chociaż skradzione informacje nie zawierają żadnych szczegółów płatności ani danych, które mogłyby prowadzić do kradzieży tożsamości, nadal można je wykorzystać w innych atakach, które mogą być znacznie bardziej szkodliwe.

Co więcej, niezależnie od ilości i charakteru sfałszowanych informacji, firma, która ucierpiała w wyniku naruszenia danych, powinna zawsze być tak przejrzysta, jak to możliwe. W tym przypadku jedyne, co otrzymali użytkownicy, to powiadomienie e-mail, które nie zawiera zbyt wielu szczegółów na temat tego, co spowodowało naruszenie danych. Mówiąc o tym, samo naruszenie było wynikiem błędu, którego firmy ochroniarskie nie powinny tak naprawdę popełnić.

Innego dnia kolejna firma ochroniarska zostaje zaatakowana po tym, jak nie łata oprogramowania

Około półtora miesiąca temu Comodo ogłosiło, że hakerom udało się zaatakować jedną z posiadanych przez siebie tablic wiadomości i uzyskać dostęp do blisko ćwierć miliona rekordów użytkowników. Firma ochroniarska przyznała, że oszustom udało się dostać po wykorzystaniu CVE-2019-16759 - luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w oprogramowaniu forum vBulletin. Luka w zabezpieczeniach została ujawniona publicznie na kilka dni przed atakiem, a łatka została wydana niemal natychmiast. Jak można się domyślić, Comodo nie zaktualizowało swojego forum, a hakerzy nie potrzebowali drugiego zaproszenia.

Można się spodziewać, że inni ludzie z branży cyberbezpieczeństwa wyciągną wnioski z błędu Comodo i będą starali się być na bieżąco z aktualizacjami. Niestety ZoneAlarm nie podejmował żadnych prób ratowania się przed zażenowaniem związanym z zaniedbaniem zarządzania łatkami.

CVE-2019-16759 dotyczy wszystkich wersji vBulletin między 5.0.0 a 5.5.4, ale osoby prowadzące projekt uważają, że nikt nie powinien używać starszych wersji oprogramowania, dlatego łatki zostały udostępnione tylko dla wersji 5.5.2 i nowsze. Forum ZoneAlarm działało na vBulletin 5.4.4, co oznaczało, że był to w zasadzie kaczka siedząca dla hakerów.

To szczególne naruszenie danych jest dalekie od najgorszego, jakie widzieliśmy, ale pokazuje, że nawet ludzie, którzy powinni wiedzieć lepiej, nie uniknęli mentalności „to mi się nie przydarzy”. Niestety, kiedy następnym razem coś takiego się wydarzy, konsekwencje mogą być znacznie poważniejsze.