Benchmark forum kompromitovan - update

[Thunderbolt]

Ne mislim na to, sećam se baš ovakve teme. Ili ako nije bio zaseban thread otvoren (a mislim da jeste) onda ostavljam malu mogućnost da je neko negde otkucao post sa info. o pomenutom breach-u.

Pretpostavljam da misliš na ovo https://bezbedanbalkan.net/thread-307-post-967.html#pid967

 

[Alekzzz]

Mozda je malo "neukusno" da nismo obavesteni o ovakvim stvarima kad je to trebalo, jer smo ipak neka "zajednica" itd.
Mada bar ja linco imam mail za forume, mreze i sl. i mislim da tako moze da se spreci sta vec jer ne postoji nista specificno bitno za bilo kog "haklera"

 

[balsa]

Ja sam pre nekoliko godina ovde prijavio da sam počeo da dobijam spam na adresu koju koristim isključivo za Bench i koju niko drugi nije znao niti je mogao mogao znati ili pogoditi, jer je u formi nasumice odabranih slova i brojeva, baš kao neki password. Radi se o email servisu gde za svaki sajt napraviš novu adresu tog tipa i ako krene da te spamuje, znaš koji sajt je hakovan ili je prodao tvoju adresu i možeš da je ugasiš.

Dakle, tog trenutka kad je počeo da mi stiže spam znao sam da je Bench hakovan (ili je sam prodao svoju bazu nekome). Druge mogućnosti ne postoje. Niko sa Bencha nije reagovao.

 

[kUdtiHaEX]

Da li su i email adrese bile enkriptovane ili samo password ?

Samo lozinke.

Koji su rizici ukoliko je nasa email adresa pronadjena na tom pwned sajtu?
U smislu, rizik je jedino u kontekstu koriscenja iste sifre gde je i sifta exposed, da neko ne bi pristupio nasem nalogu... ali samo njihovo imanje nase email adrese ne bi trebalo da predstavlja problem po nas?

Tako je.

Desice se jednom u nikad ali desice se, zato ukljuci 2FA i promeni sifru, posle si miran.

👍

Par relevantnih pitanja:

• Da li su korisnici ikada od 2019. do danas obavesteni o curenju ove baze?
• Da li su korisnicke sifre od tog curenja 2019. tada bile resetovane od strane administratora?
• Da li i pored oba negativna odgovora mozemo da smatramo da "Trenutni Benchmark forum, ovaj koji danas koristite, nije kompromitovan." iako su sifre ostale iste i te danasnje sife velikog broja korisnika su pojavile na internetu u plain text formatu?
• Da li je guranje ovog problema pod tepih od 2019. do danas profesionalno?

Unapred hvala @kUdtiHaEX

Ako mislite na sledece:

to nisu odgovori na moja pitanja. Prvi deo daje nejasni izgovor zasto se neka "azuriranja" nisu desila. Azuriranja cega? Baze, pluginova, verzije software-a, operativnog sistema? Pojma nemomo... Mi se danas nalazimo 3 godine posle incidenta, i sifre gomile korisnika su iste kao u trenutku curenja. Ako je trenutna platforma znacajno modernija, zasto po modernizaciji, ili bar danas, nije isforsiran reset lozinki za sve korisnike?

Ako ste videli konkretne odgovore, ja vas molim da citirate, posto jedina objava admina na ovu temu koju sam ja nasao pocinje neistinitom tvrdnjom da "danasnji forum nije kompromitovan" i pritom propusta da primeti da je veliki deo trenutne baze sada dostupan na netu jer gomila korisnika nema pojma da su im iscureli podaci.

Moje pretpostavke su da se akcije iz prva dva pitanja (koje su inace stavke 1. i 2. u bilo kakvoj incident administraciji IT sistema) nisu desile, jer kao korisnik foruma nisam bio deo obavestenja i moja sifra jeste iscurela. Posto sam korisnik foruma duze od oba korisnika koji magicno citaju odgovore izmedju redova, jos jedan detalj: Od [email protected] sam do sada dobio ukupno 221 E-maila, izmedju ostalog 29.11.2019 u 10:28 sa naslovom: "Danas je 20 godina Benchmarka", koji je bio poslednji sa navedene adrese. Nijedan o navedenom incidentu. Moguce da se modernizacija desila posle toga, ali i dalje ostaje otvorena pitanja:

• Zasto korisnici do danas nisu obavesteni o incidentu i zasto na svim nalozima nije setovan flag za obavezni reset?
• Zasto administrator to ne uradi bar sada 11.12.2022 (ako se vec nije setio ranije) kako bi time sprecio dalju zloupotrebu iscurelih korisnicih podataka koji su na internetu a korisnici van ovog thread-a pojma nemaju o tome?

Da ja ne bih nagadjao o ovoliko "zasto" i "sta se ceka" jos jednom molim za konkretne odgovore i akcije administratora.
Izbegavanje odgovora, citiranje ili "necu da kazem" su takodje validni odgovori, ali je u redu da znamo kako se ovaj forum administrira.

Hvala

Sem email adrese, svi podaci korisnika su javni. Profil svakog korisnika je javno dostupan, svi postovi su javno dostupni. Samim tim, negativan uticaj na korisnike je nepostojeći - forum ne sadrži bilo šta što već nije javno vidljivo ili veoma osetljivo poput brojeva kreditnih kartica, lične karte i sl. Da, procurele email aderse i lozinke nisu prijatna stvar ali sa druge strane niko ne bi trebao da koristi istu lozinku svuda i za sve servise, to je jedno od osnovnih pravila.

Korisnici nisu obavešteni jer ja nikad nisam uspeo sa sigurnošću da utvrdim da li je baza zaista kompromitovana ili ne. Zbog načina na koji je hostovan forum (istorijski dostupnih logova) bilo je nemoguće utvrditi da li se nešto desilo ili ne, jer kad su se pojavile naznake da se to desilo sve te informacije više nisu postojale. Te naznake su bile u formi uvećanog prisustva bot naloga na forumu koji je u tom momentu koristio odavno prevaziđene sisteme zaštite, pa to može da se tumači na bilo koji način. Ja nisam iskreno primetio da se 5-10-50.000 naloga odjednom povampirilo i počelo da spamuje, to bi svakako bila crvena zastavica. Takođe, niko nikada od članova mi nije poslao poruku koja bi signalizirala da nešto nije ok - u smislud a primaju više spam poruka, da su primeili da im je nalog modifikovan ili bilo šta drugo.

Naravno, da je to bilo utvrđeno ne postoji nijedan razlog zbog kojeg korisnici ne bi bili obavešteni, jer nema razloga da se to ne desi. Zato i imamo diskusiju u kojoj se ja trudim da transapretno odgovorim na sva pitanja.

Što se tiče tvog pitanja vezanog za ažuriranje i na šta se to tačno odnosi - vBulletin 4 koji je korišćen u tom momentu je već bio daleko iza poslednje dostupne vBulletin 4.x verzije i nikada nije bio ažuriran. Ažuriranje se nikad nije desilo zbog integracije koja je postojala između sadašnjeg sajta i tog foruma, a koja je omogućavala korisnicima foruma da komentarišu vesti na sajtu. To nikad nije radilo kako treba, uvek je zadavlo glavobolje i zbog načina na koji je integracija izvršena - modifikacija vB4 koda direktno - ažuriranje nije bilo moguće jer bi te modifikacije nestale. Da li je to mudro - pa naravno da nije, ali hajde da ne ulazimo u to zašto je to tako urađeno. Greške su se desile.

Da li ima potrebe svim korisnicima sada resetovati lozinke i da li postoje naznake da se javno dostupne informacije aktivno eksploatišu? Ja nisam primetio bilo kakve anomalije u ponašanju korisnika u smislu da su registrovani korisnici počeli da postuju sadržaj koji bi mogao da se okarakteriše kao spam, a koji je posledica kompromitovanog naloga. Od momenta kad smo prešli na XenForo i batalili sve prethodno, broj takvih slučajeva je 0. Imajući u vidu da je baza sada javno dostupna, to bi bila svakako pametna ideja, zato i stoji obaveštenje da korisnici resetuju svoje lozinke.

I na kraju, da odgovorim na besmislene aluzije o guranju problema pod tepih - niko ništa nije namerno gurnuo pod tepih. Pretpostavke su majka *****a, tako da molim te da ne pretpostavljaš bilo šta.
Ako ću da budem savršeno iskren, neadekvatno održavanje, nedostatak pažnje i brige je doveo do toga. Osoba koja se duži niz godina bavila time se odavno time više ne bavi i Benchmark je jedno vreme plivao kao brod bez kapetana. Sama titula administratora foruma ne znači ništa bez kompletnog pristupa infrastrukturi koji sam ja uspeo konačno da obezbedim u 2020. godini. Informacija da je baza procurela kao i informacija da je neko kontaktirao administraciju na mail koji niko ne gleda je nova za mene kao i za sve vas ovde.

Da li sve to opravdava Benchmark? Naravno da ne. Ali sigurnosni propusti se dešavaju i nisu ništa novo niti bilo šta dramatično. Mnogo ozbiljnije institucije su doživele vrzo ozbiljna curenja podataka koja zaista imaju negativan uticaj na one čiji su podaci iscureli.
Poenta je da se iz toga nešto nauči i da se preduzmu mere da se to više nikada ne desi tj. da se učini sve da se % šanse svede na najmanju moguću meru. Da li smo mi to uradili - naravno da jesmo, kada je forum u pitanju situacija je miljama ispred onoga gde je bio do februara 2021. godine jer se redovno održava, adekvatno je obezbeđen i vrlo se aktivno nadgleda.

Ja razumem da su pojedinci ljuti i da osećaju/misle da je sve ovo neko hteo da sakrije. Ovo je vrlo neprijatna situacija za medij kakav je Benchmark koja nije trebala da se desi. Ali, niko ništa nije sakrio, objasnio sam potanko sticaj okolnosti koji je doveo do ovoga i u svemu tome nema ničega više, nikakve zavere niti senzacije. Cela situacija je "textbook" primer kako to sve ne treba da se radi 🤷‍♂️ i srećom više se ne radi.

EDIT: svima je setovan flag da moraju da promene lozinku. Takođe, kada smo migrirali na XenForo svi korisnici su morali da reaktiviraju svoje naloge, a dobar deo njih i da promene lozinke, toga sam se sada setio.

 

[SeeBeen]

Ako vam posle ovakvog, Kutijinog, odgovora i dalje nešto nije jasno, i imate neki problem. Onda je do vas - ne do Kutije i Bench administracije.

🥲​

 

[alex303]

Čekamo da se jave članovi koji će tražiti novčanu nadoknadu za pretrpljeni stres.

 

[rainy]

Previse analize, pretpostavki i ulazenja u detalje koji ne treba da se ticu nikog osim administracije
... prelaskom na novu platformu ponudjena je "strongly reccomended" 2FA, koja je i vise nego dovoljna da zastiti clanove od bilo kog db leak-a, kao i promena sifre.

Najpre hvala moderatoru na podsetniku o poslu administracije.
Unapred sam naglasio da su u pitanju pretpostavke, i bas zato zamolio administratore da nam odgovore, kako bi se korisnici osecali sigurno i svi prestali da pretpostavljaju i odgovaraju u stilu "ma nema veze".

Pitanje za sve koji ste zaduzeni za administraciju i bezbednost foruma:
Da li je neko od vas svestan da su sifre 99% korisnika ostale nepromenjene, da oni nemaju pojma o ovom curenju i da im 2FA u koju se toliko "kunete" nije ukljucena zato sto je od uvodjenja nikada niste ni podstakli, ni prisilili, niti ste korinike e-mail-om obavestili ni o 2fa ni o incidentu?

To znaci da cim forum registruje da se neko pokusava logovati sa vasom mail adresom preko browsera koji nije verifikovan na forumu, ne moze da se loguje bez 2FA procedure.

Nazalost netacno, osim ako 2FA (putem email potvrde) niste svima ukljucili po default-u, a po svemu sudeci niste. Ako mislite da jeste, potvrdjujem da to nije radilo u mom slucaju.
Molim admin-a da opet proveri standarnda podesavanja. Cak i da je ovo ukljuceno, i o takvim bitnim stvarima je profesionalno informisati korisnike, a informacije emailom nije bilo.
Ali dobro sta je tu je, i nije u opisu moderatora da to zna kako ranije zakljucismo.

Da se vratimo na problem: sem par korisnika foruma koji su slucajno videli tweet ili ovaj thread, podaci svih ostalih su potencijalno kompromitovani, dostupni u textualnom formatu (link), i sada se i moderatori prikljucuju administratorima i dalje tvrdeci da forum nije kompromitovan.


Ne trazim krivce, bilo je, propusti i incidenti se desavaju i to je deo IT-a ✔️

Medjutim ovakav naivan i neprofesionalan pristup i potpuno ignorisanje problema zaista nisam ocekivao od nekoga ko ima dodeljenu ulogu administratora makar to bio i forum. To nije "gledanje napred" to je ignorisanje problema za koji znate vec bar 2 godine i uporedo sa guranjem pod tepih, ne sprecavate vecu stetu (za sam forum i za korisnike istog) uzrokovane ovim curenjem vec aktivno birate da ne preuzimate absolutno nista!!!
Navedeni koraci i informacije korisnicima kanalom odvojenim od foruma su minimum (YouTube Security 101) za handlovanje incidenta ljudi, zar je moguce da o tome mora da se diskutuje u 2022.???

Neznanje ili nemar zaista mi nije bitno, ali neprofesionalnost cak i kada drugi ukazu na problem ne mogu da precutim...

p.s. u edit-u dodat link na screenshot leak-a

 

[SeeBeen]

Medjutim ovakav naivan i neprofesionalan pristup i potpuno ignorisanje problema zaista nisam ocekivao od nekoga ko ima dodeljenu ulogu administratora makar to bio i forum.

Je l' može za nas sa jeftinim ulaznicama, i koji eto ništa o ITju ne znaju - šta je u nastupu neprofesionalno, i gde se problem ignoriše?

To nije "gledanje napred" to je ignorisanje problema za koji znate vec bar 2 godine i uporedo sa guranjem pod tepih, ne sprecavate vecu stetu (za sam forum i za korisnike istog) uzrokovane ovim curenjem vec aktivno birate da ne preuzimate absolutno nista!!!

I ako bih mogao da dobijem odgovor kako je problem izignorisan. Pokušavam da skapiram da l' u mom i tvom univerzumu važe neka različita pravila.

 

[Lanikor]

Sprecavanje stete je upravo bila poenta prelaska na XF

 

[rainy]

Kasno sam procitao odgovor pa moja prethodna poruka nije kompletno u sync.

kUdtiHaEX:

Korisnici nisu obavešteni jer ja nikad nisam uspeo sa sigurnošću da utvrdim da li je baza zaista kompromitovana ili ne.
...

EDIT: svima je setovan flag da moraju da promene lozinku.​

Sada kada imate sigurnost, molim vas obavestite sve korisnike o kompromitovanoj bazi. Hvala

Flag za reset lozinke nazalost nije funkcionisao, ulogovao sam se sa starom lozinkom i samoinicijativno promenio na novu.

Hvala na ostalim odgovorima i objasnjenjima. Profesionalnost je po mom misljenju nedostajala.

 

[kUdtiHaEX]

Kasno sam procitao odgovor pa moja prethodna poruka nije kompletno u sync.


Sada kada imate sigurnost, molim vas obavestite sve korisnike o kompromitovanoj bazi. Hvala

Flag za reset lozinke nazalost nije funkcionisao, ulogovao sam se sa starom lozinkom i samoinicijativno promenio na novu.

Hvala na ostalim odgovorima i objasnjenjima. Profesionalnost je po mom misljenju nedostajala.

Zavisi u kom momentu si se ulogovao, flag je setovan nešto nakon što sam napisao odgovor koji si citirao. Što se tvog mišljenja tiče, nadam se da ćeš nam oprostiti

 

[rainy]

Je l' može za nas sa jeftinim ulaznicama, i koji eto ništa o ITju ne znaju - šta je u nastupu neprofesionalno, i gde se problem ignoriše?
I ako bih mogao da dobijem odgovor kako je problem izignorisan. Pokušavam da skapiram da l' u mom i tvom univerzumu važe neka različita pravila.

Admin(i) nisu bili sigurni da li je baza kompromitovana i u kom opsegu. Ipak je odluceno da se ceka da li ce oni primetiti nesto neuobicajno. I cekalo se dok podaci nisu iscureli. I i dalje se nekako ceka i korisnici jos uvek nisu obavesteni da su im podaci ugrozeni.

To se nazalost tako ne radi. Ne ceka se dalji dokaz je se ne zna sta je i koliko kompromitovano. Mozda su i monitoring sistemi kompromitovani i na pokazuju pravo stanje. U ovakvim situacijama se preventivno preduzimaju najbolje moguce mere da se spreci eventualna veca steta, a minimum je informacija korisnicima i reset pristupu... Pa ako je baza zaista kompromitovana, kada postane dostupna na internetu steta je, koliko je moguce, svedena na minimum.



Hvala @kUdtiHaEX, ovo vec zvuci puno bolje

Zavisi u kom momentu si se ulogovao, flag je setovan nešto nakon što sam napisao odgovor koji si citirao. Što se tvog mišljenja tiče, nadam se da ćeš nam oprostiti

Naravno, kao sto rekoh incidenti se desavaju. I sam sam bio i na admin strani.

 

[kUdtiHaEX]

Ok, hajde da spustimo loptu ovde, nema potrebe da ulazimo u nepotrebnu raspravu koja će nas odvesti u neku drugu stranu. Objasnio sam sve potanko i to je to.

 

[Thunderbolt]

Nije to to, pošaljite email korisnicima da promene lozinke i obavestite ih da je došlo do curenja njihovih lozinki. To je jedino odgovorno rešenje.

Da dodam nešto čega sam se setio i što je relevatno za ovaj slučaj.

Pre koju godinu je DeHashed davao free pristup svoj servisu koji sam iskoristio da proverim šta mi je procurelo od podataka i da zatražim uklanjanje iz njihove baze.

Tu je kao izvor već bio naveden Benchmark, a takođe su imali i IP adrese koje sam koristio za pristupanje, ako se dobro sećam. Mislim da ne grešim.

Lozinki nije bilo tad ili nisu bile crackovane još.

Evo poruka iz tog perioda kada sam upozorio prijatelja.

 

[kUdtiHaEX]

Nije to to, pošaljite email korisnicima da promene lozinke i obavestite ih da je došlo do curenja njihovih lozinki. To je jedino odgovorno rešenje.

To je to se odnosilo na dalje širenje rasprave u nepotrebnu krajnost. Svim korisnicima je već setovan lock status da moraju da urade resetovanje lozinke. A obaveštenje će svakako dobiti.

 

[kUdtiHaEX]

Napomena: forsirana promena lozinke je izvršena za 130.000 korisnika i ukoliko poruka za reset ne stiže odmah, probajte za par sati da zatražite novi email za reset - može da se desi da servis za slanje transakcionih poruka forsira limit u broju poslatih poruka u minutu.

U slučaju da više nemate pristup mail nalogu koji ste koristili prilikom registracije, pošaljite upit za promenu email adrese na [email protected] sa dokazom da ste vi zaista vlasnik naloga i novom email adresom koju želite da koristite. Samo onim korisnicima koji uspeju da dokažu vlasništvo nad nalogom će biti zamenjena email adresa.

 

[Djolekg]

Da,kasni poprilično meil za aktivaciju..

 

[nuk]

I ja sam saznao sa Tvitera pa krajičkom oka ispratio ovu temu i pomislio kako ste ovo amaterski uradili, tj ništa niste uradili a morali ste obavestite korisnike pre svega.
Opensubtotles je to uradio kako treba, vi niste.

Imas gore lepo objasnjeno zasto se to nije desilo.

I ti Duke kao ministar odbrane bi morao da znaš da nije svaka kritika napad, ova je bila baš na mestu.

Bitno da je rešeno, idemo dalje

 

[alex303]

Katanac ?

 

[Zare]

Meni je kasnilo dosta, tražio sam nov mail i stigao je odmah.

 

[Altru]

ja još juče promenio pass, a sad opet

 

[gorgilije]

ja još juče promenio pass, a sad opet

Takodje.

 

[Sgt. Major]

ja još juče promenio pass, a sad opet

+1

 

[Space Beer]

Meni Bitwarden pamti da sam menjao šifru pre oko godinu i po dana. Mislim da sam menjao i mejl u međuvremenu. Ali svakako treba čovek konačno da nauči kako da vodi svoje naloge na online servisima (pass manager, različite šifre, 2FA, različite mail adrese/aliasi...). Samo me mrzi da prođem kroz sve što sam pootvarao za 20 godina. A još teže je mlađim generacijama koji i ne znaju kako da se registruju mailom i šifrom, pošto danas ide sve preko telefona, pa su forume i IRC kanale zamenili telegram i viber zajednice : profesor Farnsvort neće da živi na ovoj planeti:

 

[perafilozof]

Nema potrebe za dramu, na email sa kojim sa registrovan na ovaj forum nisam primio u poslednjih 3 godine više od 5 mailova koje nisam želeo tako da iako su uzeli bazu imejlova očigledno je niko nije ni kupio.

 

[Olujche]

Ma daj. Kolika drama oko passa sa foruma. Još je ovo sve od pre 3 godine!

Newsflash. Ako ste koristili istu šifru svuda, forum vam je najmanja briga. A opet, do sad je iskorišćeno sve što se moglo iskoristiti. Reset lozinke nije imao nekog većeg smisla.

 

[e6111]

vB exploit koji bio aktuelan u vreme curenja baze je dozvoljavao export cele baze foruma koja izmedju ostalog sadrzi i privatne poruke clanova, sto je uobicajeni metod komunikaciji za kupoprodaju predmeta na bench, i moze sadrzati vaznije podatke o licu…

Mislim da je tu prethodni vlasnik bencha napravio velik propust, jer nije obavestio korisnike.

 

[joojant200]

Jutro sam promenio sifru stavio max sigurnosnu na svahili jeziku, dok sam ukucao na komp, tablet, mobilni trebalo je vremena, odem do grada i vratim se i saceka me obavezna promena sifre.
Bravooo!!!

 

[Space Beer]

Šifra se ne kuca. A gde može passphrase umesto password-a (a ovde može), to je bolji izbor

 

[Savant]

@kUdtiHaEX bravo za odmerenost i racionalnost u komunikaciji i resenju problema u ovoj temi, koja je ocigledno uznemirila dovoljno ljude