Ricordate CVE-2.019-16.759, la vulnerabilità vBulletin che è stato trovato per influenzare centinaia di migliaia di forum internet? Il bug è stato sfruttato in attacchi. Quel che è peggio, è stato sfruttato per rubare dati da Flirtsexchat.
Come il nome suggerisce, Flirtsexchat è un forum dove le persone discutono argomenti molto personali per quanto riguarda il sesso. I dati raccolti dal forum sesso è ora offerti su un forum in cui gli hacker criminalità informatica e dati collezionisti possono ottenerla.
E 'importante notare che la vera origine della maggior parte dei conti su tali forum è discutibile, come ci possono essere un sacco di account falsi creati per gli utenti ingannati. Tuttavia, questo evento va avanti per mostrare come sia facile “rompere” la sicurezza di un sito web che dispone di dati altamente sensibili. Solo per riferimento, alcuni degli argomenti trattati sul forum Flirtsexchat comprendono le discussioni sul sesso in pubblico, BDSM, etc. Alcuni degli utenti hanno anche condiviso le loro maniglie di social media.
Come è autentica i dati utente Flirtsexchat?
"Motherboard nomi utente riferimenti incrociati che compaiono sul sito e controllato che abbinati quelli nel database, e anche cercato di creare account con indirizzi e-mail presenti nel database,”Vice disse. Tuttavia, Questo si è rivelato essere impossibile, come gli indirizzi erano già in uso, che corroborato che il database contiene i dati utente reale.
Di più sulla vulnerabilità CVE-2.019-16.759
Il CVE-2.019-16.759 falla potrebbe consentire a un aggressore per eseguire comandi shell sul server che esegue l'installazione vBulletin. E 'anche opportuno precisare che il potenziale aggressore non ha bisogno di un account registrato sul forum per essere mirata. Questo è anche noto come codice remoto eseguire del pre-autenticazione, che è considerato uno dei peggiori difetti contro piattaforme web-based.
ricercatori Tenable sono stati in grado di analizzare e confermare che questo exploit opere su configurazioni di default di vBulletin. Sulla base della prova pubblica del codice di concept, un attaccante non autenticato può inviare una richiesta POST HTTP appositamente predisposta a un host vulnerabili vBulletin ed eseguire comandi.
vBulletin è attualmente il più popolare pacchetto software web forum. La sua quota di mercato sembra essere più grande di soluzioni open-source come phpBB, XenForo, Simple Machines Forum, etc.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: