Tres años después, Ubuntu Forums volvió a recibir un ataque hacker que ha afectado a 2 millones de cuentas de usuario, curiosamente la misma cantidad que en la ocasión anterior.
El origen del ataque y robo de datos no está en un fallo del sistema operativo Ubuntu, sino en la propia Canonical, que no aplicó un parche para cubrir una vulnerabilidad presente en un plugin utilizado para Ubuntu Forums. Esto dejó la puerta abierta para que los foros pudiesen ser atacados por un hacker con los conocimientos necesarios.
Jane Silber, CEO de Canonical, ha sido quien ha dado la cara en todo este asunto, intentando llevar a cabo una política transparente a la hora de informar a los usuarios sobre qué ha pasado realmente en el ataque, a lo cual hay que sumar unas disculpas públicas por los perjuicios causados. Silber ha recalcado que la privacidad de los usuarios y la seguridad de los datos son muy importantes para Canonical y que la compañía sigue unas estrictas pautas de seguridad. Sin embargo, parece que algo ha fallado por parte de los mantenedores, porque ya había un parche disponible para la vulnerabilidad aprovechada antes del momento del ataque.
Entre los datos robados hay nombres de usuario, direcciones de email y direcciones IP. De momento parece que los atacantes solo han conseguido acceder a la tabla de los usuarios en la base de datos, por lo que a nivel de contraseñas solo han podido obtener unas cadenas sobre las cuales se ha aplicado hash y sal, no siendo aprovechables para acceder a las cuentas de usuario.
En su intención de ofrecer una política de transparencia total, Canonical ha ofrecido la siguiente información relacionada con el ataque.
A lo que han tenido acceso:
- Los atacantes han tenido la capacidad de inyectar cierto código SQL formateado a la base de datos de los foros sobre el servidor de bases de datos. Esto les dio la capaciad de leer cualquier tabla, pero desde Canonical creen que solo han podido leer la tabla “usuario”.
- Los atacantes han utilizado este acceso para descargar porciones de la tabla usuario que contiene nombres de usuario, direcciones de email y direcciones IP de 2 millones de usuarios. No se han detectado accesos a las contraseñas, que están almacenadas en esa tabla a modo de cadenas de caracteres aleatorias debido a que los foros de Ubuntu confían en el acceso a través de Ubuntu Single Sign On, por lo que los atacantes solo han podido tener acceso a las unas cadenas sobre las cuales se ha aplicado hash y sal.
A lo que NO han tenido acceso:
- Canonical sabe que los atacantes no han podido tener acceso a ninguno de los repositorios principales de Ubuntu o al mecanismo de actualización.
- Canonical sabe que los atacantes no han podido acceder a través de contraseñas válidas de usuario.
- Canonical cree que los atacantes no fueron capaces de escalar un acceso de lectura remota de SQL a la base de datos de los foros en el servidor de bases de datos.
- Canonical cree que los atacantes no fueron capaces de obtener acceso remoto para escribir SQL en el servidor de la base de datos.
- Canonical cree que los atacantes no fueron capaces de obtener acceso a la shell sobre ninguna de las aplicaciones del foro o el servidor de la base de datos.
- Canonical cree que los atacantes no fueron capaces de acceder en absoluto a los servidores frontend del foro.
- Canonical cree que los atacantes que no fueron capaces de acceder a ningún otro servicio de Canonical o Ubuntu a través de este ataque.
En estos momentos Ubuntu Forums vuelve a funcionar y todo ha vuelto aparentemente a la normalidad (el fallo que provocó el robo de datos tampoco parecía muy difícil de solucionar). Sin embargo, si sois desconfiados con las contraseñas podría ser recomendable cambiar la utilizada en Ubuntu Forums y en todos los sitios web donde se use la misma.
Fuente | MuySeguridad
