Хотя локальные взломы форумов на популярной платформе vBulletin происходят с завидной регулярностью и уже никого не удивляют, однако атака базового сайта форума компании-разработчика движка в ночь Хэллоуина с 31 октября на 1 ноября, в результате которой было похищено 479 895 учетных записей пользователей, получила широкий резонанс в сети и СМИ. Ответственность за инцидент взял на себя хакер с ником Coldzer0. На своих ресурсах в социальных сетях —Twitter, Facebook, Youtube, Linkedin и др. — он опубликовал подтверждающие взлом скриншоты и видео. Однако, к слову сказать, — после шумихи в СМИ все доказательства этого взлома с публичных площадок исчезли...
Эксперты, занимающиеся расследованием данного инцидента, вычислили, что настоящее имя хакера — Мохаммед Усама, который на своих интернет-ресурсах, например, в социальных сетях представлялся не иначе как аналитиком в области вредоносных программ, экспертом социальной инженерии и исследователем ИБ компании Orbit Shield из Дубая. Атаковав площадку vBulletin.com, Coldzer0 решился на взлом форума Foxit Software, который функционировал на подобном же движке и с такой же брешью «нулевого дня». В результате атаки, злоумышленник получил неавторизованный доступ к взломанному ресурсу, заполучив базы данные с полными именами 260 000 зарегистрированных пользователей, их email-адресами, контрольными вопросами и ответами, вскрытыми паролями.
ИБ-специалисты отмечают, что инцидент стал возможен только потому, что за 3 года работы движка в компании не сумел выявить эту уязвимость «нулевого дня», а Coldzer0 ее обнаружил и сразу же воспользовался, произведя сначала атаку с помощью SQL-инъекции, а затем внедрив в ресурс собственный шелл. Относительно произошедшего инцидента представители компаний-жертв в настоящее время никаких комментариев не дают. Однако, что примечательно, в течение всего нескольких часов после взлома разработчики платформы vBulleten выпустили и проинсталлировал для движка сетевой патч безопасности.
