Подробности взлома сайта phpBB.com

Продолжение записи про взлом официального сайта проекта phpBB. Хочу вернуться к этой теме, но уже с новыми подробностями.

Немного истории. Некий анонимус, позже оказавшийся злоумышленником, 14 января забрел на сайт milw0rm.com и прочитал там об уязвимости в phpList. Вспомнив, что сайт phpBB.com использует скрипт phpList для новостей, он решил применить эту уязвимость для взлома phpBB.com.

За более подробным описанием процесса взлома можно посетить блог взломщика, созданный им на сервисе blogspot.com.

После взлома был получен доступ к базе данных phpList, а затем и к базе phpBB. Затем был сделан дамп таблицы _users с полями user_id, username и user_password. Всего в этой таблице насчитывалось аж 400 000 записей. Часть паролей была захэширована стандартным md5, остальные же были с другим, собственным хэшем phpBB. В виду давнишности и распространенности md5, есть угроза подбора или расшифровки паролей. Новый хэш, введенный после перехода на phpBB 3, более безопасен, вряд ли сейчас его смогут как-то дешифровать.

Если вы были зарегистрированы на phpBB.com, и использовали там тот же пароль, что и на других ресурсах, то рекомендую вам сменить пароли на новые. Дампы взломанной базы были выложены на общедоступные серверы, что значительно увеличивает угрозу взлома.