Még csak október első felében vagyunk, de már eddig is több szexfórum oldalt törtek fel ebben a hónapban hekkerek, és vittek el róluk felhasználói adatokat. A hónap elején a Flirtsexchat oldalt érte támadás. Az oldalt elsősorban az extrém szex kedvelői látogatták tapasztalatcsere ésé kapcsolatépítés céljából. A héten pedig egy holland oldalról szivárgott ki 250 ezer felhasználó adata. Emellett számos egyéb fórumot is ért sikeres támadás.

Az esetekben az a közös, hogy a feltört oldalak mindegyike a vBulletin fórumszoftverét használta – a támadók pedig a szoftver egy régóta ismert, ám javítatlanul maradt sebezhetőségét használták ki. Az eredmény pedig hasonló, mint amikor négy éve az Ashleymadison.com-ot feltörték.

A holland szál

A hollandok meglehetősen megengedőek, így a prostitúció szabályozott keretek között legális. A szexuális szolgáltatásokat pénzért igénybe vevők körében népszerű volt Hookers.nl fórumoldal, ahol a kliensek kapcsolatba tudtak lépni szexmunkásokkal és más kliensekkel is. Ebből következően az oldal tele van érzékeny információkkal, ugyanis sok ügyfél ezen a csatornán keresztül rendelt szexuális szolgáltatást.

A fórumot ért támadás során a hekkerek hozzájutottak a felhasználói fiók adataihoz. Többek között email címek, felhasználónevek, IP-címeket és hashelt jelszavak is a birtokukba kerültek. Mindez ráadásul onnan derült ki, hogy az adatokat valaki anonim módon felkínálta értékesítésre a Dark Weben. Nem is kért érte nagy összeget: 300 dollárért viheti a teljes pakkot, akinek kell.

Egy holland lap hozzájutott az adatok egy mintájához, és azt állítja, hogy bár a titkosított jelszavakat nehéz lesz feltörni, nagyon sok felhasználó olyan email címet használt, amiből egyértelműen azonosítható a neve.

A hacker saját bevallása szerint – írja a holland lap – még nem adta el az adatokat, de szerinte lesz rá vevő. Nem sajnálja a fórum felhasználóit. Szerinte nap mint nap rengeteg webhelyet törnek fel, és ma már nem az a kérdés, hogy feltörtek-e egy webhelyet, hanem az, hogy mikor történik meg.

Az adatszivárgást az oldal üzemeltetője is megerősítette, és azt nyilatkozta, hogy minden felhasználónak küld értesítést, hogy változtassa meg fiókja jelszavát.

Három éve ismerik a hibát

A támadást a Hookers.nl-en is a vBulletin fórumszofver hibája tette lehetővé. A hibát állítólag már három éve ismerték a Zerodiumnál, de szeptember második felében egy ismeretlen a neten is publikálta azt az exploitot, amivel egyszerűen kihasználható. A sérülékenység kiaknázásával a nem hitelesített támadók távolról futtathatnak rosszindulatú programokat bármilyen vBulletin kiszolgálón 5.0.0-tól 5.5.4-es verzióig.

A hiba súlyosságát jelzi, hogy minden fórumüzemeltetőnek azt javasolták, hogy kapcsolja le a fórumát mindaddig, amíg nem telepíti a frissítést.

Egyébként nem csak szexfórumokat támadtak. A Defcon fórumát üzemeltetők is aktív támadási kísérleteket észleltek. Egyes biztonsági kutatók szerint a támadók sok esetben botnetet is bevetettek a sérülékeny verziók felkutatására. Bár pontos adatok nincsenek, szakértők szerint több mint 10 ezer szerveren futhatnak a sebezhetőséget tartalmazó verziók.

A mostani botrány arra mindenképpen jó volt, hogy a vBullletin végre kiadta a hiba javítását.

Zsarolásra használhatják

A holland fórumról megszerzett adatok pont elegendőek ahhoz, hogy az érintetteket. Bár Hollandia ebből a szempontból nagyon megengedő, és ezért nagyon sokan nem is titkolják, hogy pénzért vásárolnak szexuális szolgáltatásokat, a legtöbben szeretnék megőrizni anonimitásukat. És nem csak a szolgáltatásokért fizetők, hanem maguk a szexmunkások is, akiknek az adatai szintén veszélybe kerültek az incidens miatt.