Wyciek z forum serwisu wakacje.pl

Niedawno podczas pomocy paru innym osobom w temacie wycieków, natknąłem się na anons sprzedaży bazy danych pochodzącej z forum serwisu wakacje[.]pl

Sprawa wydaje się być jasna, o podatności w vBulletin (wersje 5.x, aż do 5.5.4) ostrzegaliśmy parę miesięcy temu. Był to wtedy 0day, który umożliwiał RCE (wykonywanie poleceń w systemie operacyjnym). Obecnie bug jest już załatany, choć cały czas aktywnie eksploitowany w Internecie.

Na stronie Wakacji mieliśmy taką informację:

Zdecydowanie wyglądało to na wersję podatną. Pocieszający jest fakt, że jak widzicie na zrzucie powyżej, hasła użytkowników zahashowane są z wykorzystaniem bezpiecznego algorytmu bcrypt (choć jeśli ktoś użył bardzo prostego hasła – cały czas można je złamać)

Przed publikację tekstu przesłałem kilka dodatkowych pytań (soc[at]grupawp.pl – wakacje.pl należą do grupy Wirtualnej Polski), a odpowiedzi (oznaczone kursywą) – poniżej.

Na wstępie chcielibyśmy podziękować za przesłane informację i wstrzymanie się z artykułem do naszych wyjaśnień. Z chęcią udzielimy odpowiedzi na pytania:

1. Czy planują Państwo poinformować / lub poinformowaliście użytkowników Forum o wycieku?
   
   Tak, użytkownicy zostali poinformowani. Dodatkowo wdrożyliśmy procedurę restartu haseł dla każdego użytkownika forum.wakacje.pl, która będzie dostępna po ponownym włączeniu forum oraz uruchomiliśmy specjalny alias zgloszenia-forum@wakacje.pl, poprzez który użytkownicy mogą zadawać pytania i uzyskać wsparcie.
   
   
2. Jaki zakres danych (wg. Państwa analizy) został pobrany w sposób nieautoryzowany? (np. adresy e-mail, zahashowane hasła, imienia/nazwiska)
   
   Według naszej analizy w sposób nieuprawniony doszło do ujawnienia wymaganych podczas rejestracji danych: adresów email, loginów, hashy haseł do forum  i rejestrowanych automatycznie adresów IP. Niewielka liczba użytkowników (mniej niż 1%) wypełniła profil danymi opcjonalnymi m.in.: data urodzenia, link do strony www, adresy innych portali społecznościowych, te dane także zostały ujawnione.
   
   
3. Czy zlokalizowali Państwo podatność, która została wykorzystana?
   
   Tak, zlokalizowaliśmy wykorzystaną podatność.
   
   
4. Obecnie serwis forum.wakacje.pl nie jest dostępny. Czy planują Państwo wznowienie jego działania?
   
   Tak, forum zostanie uruchomione po przeprowadzeniu testów i usunięciu podatności wraz z powiadomieniem użytkowników i wymuszoną zmianą hasła. Forum tymczasowo zostało zamknięte w celu ochrony kont użytkowników oraz przeprowadzenia analizy incydentu.
   
   
5. Gdyby ktoś w przyszłości zlokalizował w Państwa infrastrukturze podatność – w jaki sposób najlepiej ją zgłosić?
   
   Podatności należy zgłaszać pod dedykowany adres soc@wakacje.pl, zgłoszenia te są przekazywane bezpośrednio do zespołu reagowania na incydenty bezpieczeństwa.

Wnioski?

• Jeśli mieliście konto na forum wakacje[.].pl i używacie tego samego hasła w różnych miejscach – zmieńcie je.
• Podatność umożliwiała dostęp do całej bazy (nie tylko użytkowników) – nie ma wprawdzie wprost dowodów żeby wyciekły treści postów czy prywatnych wiadomości, ale uważajcie z kim i w jaki sposób korenspondujecie na tego typu forach. Kiedyś taka korespondencja może zostać ujawniona.
• Administratorzy: czy wykonujecie regularne sprawdzenia w temacie aktualizacji / podatności waszych aplikacji dostepnych w internecie?
• Administratorzy: Czy jesteście przygotowani, że ktoś dostatnie się na Wasz serwer podatnością klasy SQLi/RCE? (tak, to cały czas popularny problem w aplikacjach webowych).

Na koniec log obsługi opisywanego tematu:

6.11.2020 późnym wieczorem – namierzenie wycieku
7.11.2020 10:30 – nawiązanie pierwszego kontaktu z wakacje.pl
7.11.2020 11:42 – dosłanie większej ilości szczegółów
7.11.2020 po południu – ściągnięcie całego forum przez wakacje.pl
9.11.2020 21:38 – prośba o dodatkowe wyjaśnienia / komentarze wysłana do soc[at]grupawp.pl
10.11.2020 22:19 – otrzymanie odpowiedzi z soc[at]grupawp.pl
11.11.2020 9:56 – publikacja tekstu.

–ms