W dzisiejszych czasach hakerzy stali się bardziej wyrafinowani, zmuszając firmy przetwarzające większe ilości danych użytkowników (hasła i nazwy użytkowników) do korzystania z dobrze ufortyfikowanych murów jako sposobu kierowania cennymi ilościami danych przechowywane na serwerach i bazach danych.
Pomimo ogromnych wysiłków, które wymagają zainwestowania czasu i pieniędzy, hakerzy zawsze znajdują luki, które mogą wykorzystać, jak miało to miejsce w przypadku niedawnego naruszenia bezpieczeństwa przez firmę Canonical w bazie danych Forum.
W piątek, 14 lipca, baza danych Ubuntu Forums została naruszona przez hakera, któremu udało się uzyskać nieautoryzowany dostęp, omijając zabezpieczenia bariery wprowadzone w celu radzenia sobie z takimi sytuacjami.
FirmaCanonical natychmiast wszczęła dochodzenie w celu ustalenia faktycznego miejsca ataku i stopnia narażenia danych użytkowników. Potwierdzono, że ktoś rzeczywiście uzyskał dostęp do bazy danych Forum poprzez atak, który miał miejsce o godzinie 20:33 UTC 14 lipca 2016 r., a osoba atakująca była w stanie to zrobić, wstrzykując określony sformatowany kod SQL do serwerów baz danych, na których znajdują się fora Ubuntu.
„Głębsze dochodzenie ujawniło, że w dodatku Forumrunner na forach istniała znana luka umożliwiająca wstrzykiwanie kodu SQL, która nie została jeszcze załatana” — powiedziała Jane Silber, dyrektor generalny firmy Canonical. „To dało im możliwość czytania z dowolnej tabeli, ale uważamy, że zawsze czytali tylko z tabeli „użytkownika”.
Zgodnie z raportem zamieszczonym na insights.ubuntu.com, wysiłki atakującego dały mu dostęp do odczytu z dowolnej tabeli, ale dalsze dochodzenie doprowadzić zespół do przekonania, że potrafią czytać tylko z tabeli „użytkownik”.
Ten dostęp umożliwił hakerom pobranie „części” tabeli użytkowników, która zawierała wszystko, od nazw użytkowników, adresów e-mail i adresów IP należących do ponad dwóch milionów użytkowników, ale firma Canonical zapewniła wszystkich, że żadne aktywne hasła nie zostały uzyskano dostęp, ponieważ hasła przechowywane w tabeli były ciągami losowymi, a fora Ubuntu używają tak zwanego „Single Sign On” do logowania użytkowników.
Ubuntu Linux
Atakujący pobrał odpowiednie losowe ciągi znaków, ale na szczęście ciągi te zostały posolone. Aby uspokoić wszystkich, Canonical powiedział, że atakujący nie był w stanie uzyskać dostępu do repozytorium kodu Ubuntu, mechanizmu aktualizacji, żadnego ważnego hasła użytkownika ani uzyskać dostępu do zdalnego zapisu SQL w bazie danych.
Ponadto osoba atakująca nie była w stanie uzyskać dostępu do żadnego z następujących elementów: aplikacji Ubuntu Forums, serwerów front-end ani żadnych innych usług Ubuntu lub Canonical.
Aby zapobiec niektórym naruszeniom w przyszłości, firma Canonical zainstalowała ModSecurity na forach, zaporę sieciową aplikacji i ulepszyła monitorowanie vBulletin.