vBulletin en jaque

ActualidadProtección de datoscontraseñas

Según su web, vBulletin es el líder mundial en software para foros. Este tipo de software tan extendido, y con tantos usuarios es uno de los objetivos favoritos de los cibercriminales. Por eso, de vez en cuando, alguno de esos foros es hackeado aprovechándose de que no se instalara una actualización a tiempo o por que han sido los primeros en sufrir un ataque día 0.

Por ejemplo tenemos los casos del foro de Ubuntu que fue atacado en el pasado julio, o la popular Macrumors que fue hackeada la semana pasada. Ambos usaban la tecnología de vBulletin.

Sin embargo este fin de semana han atacado el propio foro de vBulletin, lo que deja en mal lugar a la compañía ya que si no es capaz de proteger sus propios foros, como va a ser capaz de defender los que están situados en otras webs.

En su comunicado oficial no ofrecen mucha información:

vbull-msg-500

Simplemente informan de que descubrieron que un ataque muy sofisticado a su web consiguió acceder ilegalmente a información de los usuarios de su foro, obteniendo los ID de usuario y la contraseñas cifradas (no explican que tipo de cifrado han utilizado, y después del fiasco de Adobe, es algo que deberían hacer). Como precaución han reseteado todas las contraseñas y piden perdón por cualquier inconveniencia que puedan haber causado.

El comunicado termina advirtiendo que no se debe usar la misma contraseña en varios servicios online, y que si estaban usando la misma en otras webs también la cambien lo antes posible.

Según Softpedia, el ataque se debe a un grupo llamado Inj3ct0r, que dicen haber descubierto una vulnerabilidad día 0, la cual venden por 700$. Este punto lo ha negado vBulletin, argumentado que el ataque se centró en un servidor de pruebas para aplicaciones móviles y no en ningún fallo de seguridad.

vbulletin-zero-denial

Algunas webs han cerrado sus foros por miedo a poner en peligro la seguridad y privacidad de sus usuarios, aunque según el fabricante del software no hay nada que temer si se está ejecutando la última versión de sus programas.

Nuestro consejo es que si eres un administrador de un foro basado en tecnología vBulletin te plantees seriamente la opción de cerrarlo como medida preventiva. Por lo menos deberías estar alerta los próximos días. Si eres un usuario de algún foro deberías usar contraseñas robustas y no las reutilices en varios sitios ya que si uno se ve comprometido, podrán atacarte en los demás.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

1 Comentario

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.