更新:黑客使用了一个零日漏洞,窃取电子邮件地址,哈希密码和读取从bitcointalk.org论坛的个人信息。
论坛管理员说,攻击者获得root访问权限,并能够运行任意PHP代码。 攻击者获得了9月3日的访问,并没有检测到,直到攻击者注入论坛页面的“恼人的JavaScript”一个星期后。 据网站buttcoin.org,整个论坛的Javascript里演员比尔考斯比和取代所有引用BitCoin与CosbyCoin。 它的黑客发布的截图。
该论坛被关闭,并迁移到新的主机。 攻击者发动SQL注入利用漏洞的存在,因为论坛软件的用户名的细节没有处理转义字符正确。 攻击者购买了捐助帐户来访问需要在非法更改用户名的权限,然后劫持的管理员聪帐户。 从那里,攻击者通过修改样式模板的网站注入任意PHP代码。 Bitcointalk确定了一系列妥协的帐户和IP地址,似乎是在攻击时使用。 密码散列与流行的SHA - 1功能,并结合他们的用户名盐腌-由简单的机械论坛软件使用一个无效的方法。 “这是为确保攻击者复制任何密码哈希不知道,但是,他应该承担,”管理员说。 管理员敦促用户更改密码,并提醒BitCoin相关的网络钓鱼诈骗。 “更改密码,如果您使用的任何其他网站上相同的密码,你应该改变在这些网站上的密码以及,他们建议。” BitCoin是一个数字化,对等的货币,可用于国家的货币进行交易 - 通过各种在线交流 - 包括美国,波兰,英国和欧盟。 今年早些时候,超过61000的用户名,电子邮件地址和散列密码被窃取,从流行BitCoin 交流 Mt.Gox 。
|