Сообщается (https://torrentfreak.com/hackers-grab-deluge-and-qbittorrent.../) о взломе ряда сайтов, связанных с разработкой и обсуждением технологий Bittorrent. Среди скомпрометированных ресурсов оказались форумы свободных Bittorrent-клиентов Deluge (http://www.deluge-torrent.org/) и qBittorrent (http://www.qbittorrent.org/), вся пользовательская база которых оказалась в руках атакующих.Базы хэшей паролей и email-адресов пользователей форумов Deluge и qBittorrent уже
выставлены (https://realityforum.net/Thread-Databoss-io-DB-Search-Tool?p...) на продажу на сайте Databoss.io. В качестве подтверждения взлома атакующие разместили на скомпрометированных сайтах файл hello.txt. В настоящий момент сайт Deluge полностью отключен на время разбора инцидента, а у проекта qBittorrent отключен только форум, который был запущен на отдельном сервере. Подробности взлома администраторами инфраструктуры Deluge и qBittorrent пока не сообщаются. Также пока не ясно какой уязвимостью воспользовались атакующие. Проект Deluge использовал для форума движок phpBB (https://www.phpbb.com/), а qBittorrent - SMF (http://www.simplemachines.org/).
Разработка обоих проектов велась на GitHub (qBittorrent (https://github.com/qbittorrent/qBittorrent),
Deluge (https://github.com/deluge-torrent/deluge)), поэтому, злоумышленники были лишены возможности скрыто модифицировать кодовую базу. При этом, не исключено, что некоторые разработчики, хэши паролей которых попали в руки атакующих, могли использовать одни и те же пароли на разных ресурсах в сети.
URL: https://torrentfreak.com/hackers-grab-deluge-and-qbittorrent.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=43569
Пользователей Vuze это тоже касается?
пользователей вообще не касается, а вот разработчикам стоит проверить свои пароли и ключи от гитхаба и что там ещё утекло не знаю.
ключи если и утекли то только открытые, что не шибко страшно.
Кончался 2015 год, а технологии информационной безопасности всё ещё на уровне начала 90-х, что до сих пор всякие "хакеры" и "взломщики" не искоренены как класс.
Как ты себе это представляешь?
Интернет-паспорт каждому
> Интернет-паспорт каждомуНе поможет, уже есть TOR и I2P. Боб попросил попросил Петю передать конверт Алисе, в котором инструкция что должна сделать Алиса. Которая в свою очередь попросит Сергея передать через Валеру очередной конверт и т.д.
Интересно, что такие как вы делаете на свободном ресурсе OpenNet?
> Интересно, что такие как вы делаете на свободном ресурсе OpenNet?передававшему конверт бутылку от шампанского вставят, так он даже фамилии неизвестных корреспондентов пропоёт как миленький, это тебе интернет по паспорту, а не "Участник: lv7e, Тип: Аноним"
> пропоёт как миленький,довольно наивно думать что хакеры вытянутся по стойке смирно и начнут использовать везде именно свой паспорт. можно взломать тебе вайфай, компьютер, планшет и попользоваться тобой и твоим паспортом как расходным материалом. ты все-равно не знаешь что твои устройства на самом деле делают.
> Интернет-паспорт каждомукак все это помешает взломать тебя и использовать как прокси? ну посадят тебя, подумаешь. одним терпилой больше. ботнетчикам какое дело?
Всё просто, софт для продакшена должен быть без единой уязвимости.
Это в принципе невозможно. Для того, что-бы софт был без единой уязвимости, его должны писать не люди, так как люди склонны ошибаться. Да и разработка ПО без уязвимостей велась бы крайне медленно, и её стоимость была бы просто астрономической. В общем, в данном вопросе вам стоит определиться: вам шашечки, или ехать?
system i написали же
Каждая найденная уязвимость является предпоследней.
Ну конкретно от этого типа взлома давно уже можно было избавится, заменив авторизацию по паролю на авторизацию по ключам, тем самым лишив смысла похищения БД с публичными ключами.
Ваш вариант с ключами не имеет смысла, т.к. база реквизитов пользователей все равно будет под угрозой угона, а это самое главное имена, номера кредиток, телефоны, электронная почта и адрес место жительства...
Ты все эти данные оставляешь на каждом форуме?
> Ну конкретно от этого типа взлома давно уже можно было избавится, заменив
> авторизацию по паролю на авторизацию по ключам,только половина взломов почему-то происходит через спертые ключи.
И это хорошо!
Или вам тоже захотелось стерильного чебурнета?
> Или вам тоже захотелось стерильного чебурнета?не заслуживают ни свободы, ни безопасности.
Их невозможно искоренить как класс. Пока есть программисты, допускающие ошибки - будут и те, что будет эксплуатировать найденные ими уязвимости. Это нормально. Если вы этого не понимаете, и верите что есть какая-то серебряная пуля, способная защитить IT-инфраструктура от хакеров - боюсь вы очень далеки от IT-тематики.
> Кончался 2015 год, а технологии информационной безопасности всё ещё на уровне начала
> 90-х, что до сих пор всякие "хакеры" и "взломщики" не искоренены
> как класс.2015 год на дворе а человеческое общество как в каменном веке, до сих пор всякие "воры" и "убийцы" не искоренены как класс.
сайт с базами уже прикрыли.
Похоже что сломали форум используя какую-то уязвимость.
Офф страница форума qBittorrent на 20.00 (мск время) на 23.12.2015
http://qbforums.shiki.hu/
Website is offline No cached version of this page is available.
Error 522 Ray ID: 2595b27858d136f0 • 2015-12-23 17:13:42 UTC
Connection timed out
На офф странице qBittorrent в разделе новости:
Tuesday December 22nd 2015 - Forum compromise