El foro de Kodi fue hackeado
Hace poco se dio a conocer información por parte de los desarrolladores del centro de medios abiertos Kodi en la cual advierten a los usuarios sobre un reciente hackeo del foro, el servicio Pastebin y el sitio wiki del proyecto (forum.kodi.tv , paste.kodi.tv y kodi.wiki ).
Los desarrolladores se dieron cuenta del hackeo después de que se puso a la venta la base de usuarios del foro de Kodi. La auditoría mostró que la infraestructura del proyecto estaba efectivamente comprometida y los últimos rastros de la actividad de los atacantes se registraron el 16 y el 21 de febrero.
En las últimas 24 horas, nos enteramos de un volcado del software del foro de usuarios de Kodi (MyBB) que se anunciaba para la venta en foros de Internet. Esta publicación confirma que se ha producido una infracción.
Los registros de administración de MyBB muestran que la cuenta de un miembro confiable pero actualmente inactivo del equipo de administración del foro se utilizó para acceder a la consola de administración de MyBB basada en la web dos veces: el 16 de febrero y nuevamente el 21 de febrero. La cuenta se usó para crear copias de seguridad de la base de datos que luego se descargaron y eliminaron. También descargó copias de seguridad completas nocturnas existentes de la base de datos. El propietario de la cuenta ha confirmado que no accedió a la consola de administración para realizar estas acciones.
Sobre el caso, cabe mencionar que en particular, el registro del foro contenía información sobre la entrada a la interfaz web administrativa de uno de los administradores inactivos.
De esta forma, habiendo obtenido acceso a la interfaz web de control, los atacantes crearon y descargaron una copia de seguridad de la base de datos, así como también descargaron las copias de seguridad completas de la base de datos nightly disponibles.
El propietario de la cuenta confirmó que no realizó ninguna acción con el foro en estos días (no se especifica cómo los atacantes lograron averiguar la contraseña del administrador). Los datos cargados por los atacantes incluían un archivo completo de todas las discusiones públicas y privadas, mensajes privados y una base de usuarios (nombres, correos electrónicos y hash de contraseñas).
Aunque MyBB almacena las contraseñas en un formato encriptado, debemos asumir que todas las contraseñas están comprometidas. Esto requiere acciones del equipo y de los usuarios del foro:
El equipo de administración está investigando la mejor manera de realizar un restablecimiento de contraseña global y la mejor manera de garantizar la integridad del host del servidor y el software asociado. El servidor del foro se ha desconectado mientras se completa esta actividad. Esto también afectará a los sitios wiki y pastebin de Kodi. Actualmente no hay una estimación de tiempo para que el servidor del foro vuelva a estar en línea; nuestro enfoque es ser minucioso, no ser rápido.
Los usuarios deben asumir sus credenciales del foro de Kodi y cualquier dato privado compartido con otros usuarios a través del sistema de mensajería de usuario a usuario se ve comprometido. Si ha utilizado el mismo nombre de usuario y contraseña en cualquier otro sitio, debe seguir el procedimiento de restablecimiento/cambio de contraseña para ese sitio. Una vez que el foro de Kodi vuelva a estar en línea, le proporcionaremos instrucciones sobre cómo completar un restablecimiento de su contraseña del foro de Kodi.
Durante el estudio del entorno del sistema, no hubo rastros de compromiso del sistema operativo ni acciones que fueran más allá de la interfaz web administrativa del foro. Sin embargo, el servidor del foro se ha desconectado de la red y se ha iniciado el proceso de reinstalación completa del software utilizado en él. En el mismo servidor se organizaron los servicios de Pastebin y Wiki, los cuales pueden ser considerados como potencialmente comprometidos.
Después de restaurar el software, está previsto organizar el cambio de contraseñas de usuario y el envío de avisos individuales de compromiso (se registraron más de 400.000 usuarios en el foro). Se recomienda a los usuarios del foro de Kodi que hayan usado la misma contraseña en diferentes sitios que la cambien con urgencia.
Se espera que la recuperación tarde varios días, ya que Kodi usó un fork modificado de una de las versiones anteriores del motor MyBB (1.8.27) y su sincronización con la versión actual (1.8.33) llevará tiempo.
El sitio wiki se moverá a otro servidor y se actualizará a la última versión del motor MediaWiki. El servicio de Pastebin también se transferirá a otro servidor.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.