Peace all of you,
yesterday (at 20:17) I found in my E-mail a scary letter from aMSN forums says “Hacked by LatinHackTeam“.
I changed my password quickly and back to work.
Four hours later I’ve got another E-mail from aMSN saying this:
Hi,As you all know, the aMSN project forums got hacked today. You don’t have to worry about anything, it was just some script kiddies.. probably some young stupid adolescent who had absolutely nothing better to do of his free time and decided to hack our forums.
The only extent of their damage from what we can tell is that they got access to the admin page of the forums and mass emailed every user through the admin page (just like I’m doing right now) to say it got hacked and to promote their name.
You do not have to worry about your password! We believe that they have not been compromised, and anyways they are stored as an MD5 hash on the server, so they cannot retrieve your passwords!
But just to be on the safe side, we recommend to everyone to just login to the forums ( http://amsn-project.net/forums ) and change their passwords.
I repeat, we do not believe the passwords to be compromised and we do not believe this to be necessary, but it’s always better to be safe and sorry!
We are currently working on updating the forums. We may soon move to a newer version of phpBB so the forums will change a bit and hopefully it won’t be vulnerable again.
We appreciate your concern and patience, and we just want to tell everyone, again, to not worry about anything. It has been taken care of.
We apologize for the inconvenience and thank you for your understanding.
The aMSN team.
well how did he break into the admin user? I hope aMSN does not forget to update the forums system…
Ddorda.
א. המכתב לא קריא בגלל סרגל הגלילה המאוזן – אני מציא לפרמט אותו מחדש.
ב. אחת הסיבות שאני לא ממליץ אף פעם להשתמש ב-phpBB (ובכלל להיות מאוד זהיר כשמשתמשים במוצר PHP) זה שבקהילות ה-phpBB, ה-PHPNuke וחברים מאוד מקובל להשתמש בקוד גרוע, לא אמין וחדיר להתקפות SQL ו-cookie replication. בשביל לסבר את האוזן, גרסה ישנה של phpBB אחסנה את ההרשאות גישה ב-cookie של המשתמש – אם נכנסת עם סיסמת ניהול אז קיבלת cookie שבה כתוב admin=1. רוצה להיות מנהל? צור משתמש במערכת ושנה את ה-cookie שלך.
גם אני קיבלתי, מסכנים 🙁
למה כתבת את כל הפוסט באנגלית?
אנחנו חיים בישראל…
אלי, הפוסט הזה פורסם גם בפלאנט העולמי של אובונטו, לכן הוא כתב את כולו באנגלית.