На нескольких web-серверах, обеспечивающих работу проекта phpBB (http://phpbb.com/), в рамках которого развивается свободный движок для создания форумов, зафиксирована активность, связанная с успешным совершением атаки по получению неизвестными злоумышленниками контроля за инфраструктурой проекта.

Атакующие получили доступ к серверам перехватив пароль одного из участников проекта. В настоящее время инициирован процесс аудита и
переустановки начинки серверов. Имеется информация об утечке базы пользователей www.phpBB.com и area51.phpBB.com, включая хэши паролей и персональные данные. Кроме того, атакующие могли перехватить пароли в открытом виде для всех входов на сайт area51.phpBB.com, совершённых с 12 по 15 декабря. Проверка доступных для загрузки архивов phpBB не выявила внесение модификаций.

Всем пользователям, которые используют пароли, одинаковые c паролями входа в www.phpBB.com и area51.phpBB.com, или которые осуществляли вход с 12 по 15 декабря  рекомендовано срочно осуществить смену паролей. Остальным пользователям смена паролей не навязывается, так как разработчики считают надёжным используемый механизм хэшировния паролей. Персональные форумы phpBB, установленные на  серверах пользователей, не пострадали.

Следует отметить, что это не первый инцидент подобного рода, в 2009 году  в результате атаки на сайт phpBB была захвачена (http://www.opennet.me/opennews/art.shtml?num=20129) информация о 400 тысячах аккаунтов пользователей. После атаки злоумышленника смогли подобрать около 28 тысяч паролей и опубликовали их в открытом доступе вместе адресами электронной почты и персональными данными пользователей.

URL: https://www.phpbb.com/community/viewtopic.php?f=64&t=1186015
Новость: http://www.opennet.me/opennews/art.shtml?num=41285

• Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 13:18 , 17-Дек-14
• Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 13:21 , 17-Дек-14
  • Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 13:32 , 17-Дек-14
    • Инфраструктура свободного проекта phpBB подверглась взлому,nE0sIghT, 15:40 , 17-Дек-14
      • Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 00:18 , 18-Дек-14
    • Инфраструктура свободного проекта phpBB подверглась взлому,Pahanivo, 17:54 , 17-Дек-14
      • Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 00:15 , 18-Дек-14
        • Инфраструктура свободного проекта phpBB подверглась взлому,Pahanivo, 07:42 , 18-Дек-14
          • Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 15:16 , 18-Дек-14
            • Инфраструктура свободного проекта phpBB подверглась взлому,Pahanivo, 20:00 , 21-Дек-14
• Инфраструктура свободного проекта phpBB подверглась взлому,Нанобот, 15:03 , 17-Дек-14
  • Инфраструктура свободного проекта phpBB подверглась взлому,nE0sIghT, 15:35 , 17-Дек-14
• Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 20:33 , 17-Дек-14
• Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 22:14 , 17-Дек-14
• Инфраструктура свободного проекта phpBB подверглась взлому,Аноним, 23:44 , 17-Дек-14

>>и опубликовали их в открытом доступе

Вот молодцы. Когда ратуешь за свободное распространение информации, нужно быть последовательным до конца. Наверно, среди опубликованных учеток есть и данные самих взломщиков =)

вообще жалко, помню времена phpbb-2 это был на мой взгляд самый красивый форум. Может не самый мощный, но кнопочки, темы, сообщения, всё выглядело красиво. 3ий почему-то по дизайну на мой взгляд хуже. И всегда слышал мнение что phpbb дырявый.

PHPBB2 и правда безопасностью не отличался. Это всех достало и PHPBB3 переписали от и до, с оглядкой на безопасность. И даже coverity припахали сделать скан. Это как-то вполне принесло свои результаты и сам phpbb3 получился достаточно безопасным. Каких-то крутых случаев его взлома даже и не припоминается. Ломали какие-то дополнения, но это вообще к сторонным разработчикам вопросы.

Ну и в результате phpbb3 и симпатичный и не дырявый. Им пользуется куча проектов и никаких особых проблем с этого не имеет. А вот phpbb2 лучше списать в утиль.

> Это как-то вполне принесло свои результаты и сам phpbb3
> получился достаточно безопасным.

Он еще и как программа стал очень красив внутри

> Он еще и как программа стал очень красив внутри

Так набили шишек на phpbb2 и выводы сделали. По части того как делать не надо. Хороший пример успешной работы над ошибками.

> PHPBB2 и правда безопасностью не отличался.

я в свое время затрахался обновлять и читать новости про новые дыры - забил и переехал на другой двиган ))

Не вижу открытых движков сравнимых с phpbb. Еще знаю SMF но у них лицензия совсем не свободная нифига - разработчики считают что право распостранять есть только у них. Не лицензия а мина замедленного действия.

> Не вижу открытых движков сравнимых с phpbb. Еще знаю SMF но у
> них лицензия совсем не свободная нифига - разработчики считают что право
> распостранять есть только у них. Не лицензия а мина замедленного действия.

а я не писал что на открытый, откройте глаза ))

> а я не писал что на открытый, откройте глаза ))

Тут уместнее было бы "включите мозги". Для вас.

обосновать слабо?

у меня только один вопрос: что такое area51.phpbb.com? (капитану очевидность просьба не беспокоить)

Отдельный форум для разработчиков phpBB

поди ссылку на троян подкинули кому-то

Хороший проект, раньше часто использовал этот движок. phpBB 3 вообще сильно изменил взгляд на этот проект, это было очень свежо, в прочем как и сейчас

Работники гугла сперли из хрома пароль?