Wczoraj (tj. 2011-02-28) wyszło na jaw włamanie na serwer hostujący 4programmers.net. W wyniku tego baza danych serwisu (a co za tym idzie hashe haseł) mogła dostać się w ręce atakującego. Hasła hashowane były algorytmem SHA-256, bez soli. Niestety, po analizie sytuacji, okazało się, że osoba odpowiedzialna za atak zmodyfikowała część kodu systemu i mogła przechwycić jawne hasła osób, które logowały się od momentu ataku. Osoba ta pracowała także nad złamaniem haseł za pomocą narzędzia John the ripper.
Nie znamy dokładnej daty ataku - logi systemu zostały usunięte. Ustaliliśmy datę graniczną na 23 lutego, co za tym idzie nic, co było na serwerze od tej daty do chwili obecnej nie może być uznawane za bezpieczne. Wszelkie hasła, które są używane jednocześnie w serwisie 4programmers.net i w innych serwisach nie mogą być uznane za bezpieczne, zalecamy ich natychmiastową zmianę, jeżeli ktoś jeszcze tego nie uczynił.
Nie potrafimy powiedzieć w tej chwili, czy i ewentualnie jak duża część bazy danych została skopiowana.
Atak dotyczył vserwera ludzie.4programmers.net, potem "oberwało" samo 4programmers.net. Atakujący odpalił własne sshd i zmodyfikował istniejące, uzyskał dostęp z prawami roota do systemu.
Wektor ataku jest wciąż analizowany - w tym momencie obstawiamy albo nieaktualną wersję Redmine (już zaktualizowaną) lub stary serwer 4programmers.net (aktualnie wyłączony). Administrator odpowiedzialny za sprawy techniczne pracował nad rozwiązaniem dopóki kryzys nie został zażegnany.
Nie potrafimy w tej chwili powiedzieć, kto stoi za atakiem, ani jakie motywy nim kierowały.
Jedyne, co możemy zrobić w tej sytuacji, to przeprosić Użytkowników serwisu za zaistniałą sytuację i za wszelkie ewentualne problemy jakie wynikły z przechwycenia haseł dostępowych do serwisu.
Chcemy również wyjaśnić dlaczego tak późno pojawia się oficjalne stanowisko. Składa się na to kilka powodów:
- całą swoją energię od momentu odkrycia włamania skierowaliśmy na walkę z jego skutkami
- poświęciliśmy ten czas na szukanie przyczyn, które mogły doprowadzić do złamania zabezpieczeń serwera
- serwis był już zabezpieczony, więc pośpiech w publikacji informacji nie był kluczowy
- wszystkie osoby, których hasła w postaci jawnej mogły zostać przejęte przez włamywacza, otrzymały e-mail z informacją o zmianie przez nas ich haseł do serwisu wraz z nowym tymczasowym hasłem
Pragniemy również poinformować, iż testowany jest już nowy system przechowywania haseł, z dodaną solą losowo wygenerowaną dla każdego użytkownika. Zmiany powinny pojawić się w serwisie niebawem. Jak wiecie, nowa wersja systemu Coyote jest cały czas w fazie rozwoju i zawsze bardzo uważnie słuchamy Waszych uwag.