vBulletin (vB) adalah sebuah perangkat lunak forum internet banyak digunakan oleh pemilik situs web. Akhir-akhir ini, telah ada kerentanan kritis dalam versi lama perangkat lunak yang memungkinkan hacker untuk meretas setiap forum yang belum diperbarui ke versi terbaru.
Baru-baru ini, seorang hacker mengklaim pada twitter "CrimeAgency" telah menyusup 126 web forum vBulletin (vB) mencuri data pribadi dari administrator forum lalu membocorkan akun pengguna yang terdaftar sebuah forum hacker bawah tanah. Data itu dipindai secara data mining online dan pemberitahuan pelanggaran platform pada Hacked-DB.
Lihat Gambar : Data yang telah diunggah pada formulir hacking dalam file .text.
Hacking itu dilakukan antara Januari dan Febuarary 2017 di mana 819.977 akun pengguna yang dicuri dari forum yang rentan. Data yang dicuri termasuk alamat email, hash password, dan 1.681 alamat IP yang unik sedangkan jumlah email berdasarkan domain adalah akun Gmail: 219.324, akun Outlook: 11.070, akun Yahoo: 108.777 dan akun Hotmail: 121.507.
Lihat Gambar : menunjukkan email dan password hash dari pengguna
Mayoritas keseluruhan dari forum hack didasarkan pada vBulletin 4.x yang dapat dimanfaatkan oleh beberapa kerentanan keamanan termasuk serangan injeksi SQL. Menurut dukungan forum vBulletin , masalah ini dilaporkan pada Juni 2016.
"Masalah keamanan dilaporkan kepada kami yang mempengaruhi vBulletin 4. Kami telah merilis patch keamanan untuk vBulletin 4.2.2 & 4.2.3 untuk menjelaskan kerentanan ini. Masalah ini berpotensi dapat memungkinkan penyerang untuk melakukan serangan SQL Injection melalui Forumrunner termasuk add-on. Disarankan agar semua informasi pengguna secepat mungkin diubah. Jika Anda menggunakan versi vBulletin 4 lebih lama dari 4.2.2, direkomendasikan bahwa Anda meng-upgrade ke versi terbaru sesegera mungkin. "
Website menggunakan vBulletin dapat dengan mudah diidentifikasi dengan menggunakan Google Dorks. Namun, sepertinya pengguna masih menggunakan versi lama dari vBulletin, mengakibatkan pelanggaran data skala besar. Tahun lalu, beberapa forum profil tinggi menderita pelanggaran data yang besar karena lubang keamanan yang sama dan fakta bahwa semua dari mereka menggunakan software vBulletin versi lama.
Daftar forum hacking yang tersedia di Pastebin. Ingat, beberapa forum yang disebutkan dalam daftar adalah NSFW.
Jika Anda menggunakan versi lama dari vBulletin sangat dianjurkan untuk memperbarui forum Anda ke versi terbaru.
Sumber : Hack Read
0komentar:
Post a Comment