Een groep aanvallers beweert een zero-day-lek in de forumsoftware vBulletin te hebben gebruikt om het forum van vBulletin.com zelf te hacken, maar de softwareontwikkelaars ontkennen dit. Vorige week werden gebruikers van Macrumors.com en vBulletin gewaarschuwd dat hun gegevens waren gestolen.

In het geval van Macrumors.com, dat ook op de vBulletin forumsoftware draait, ging het om de gegevens van 860.000 gebruikers. vBulletin is zeer populaire forumsoftware en wordt door tal van websites gebruikt. De groep "Inj3ct0r Team" meldt via Facebook dat het voor beide aanvallen verantwoordelijk is en over een kritiek lek in alle versies van vBulletin beschikt. "We gebruikten een zero-day-exploit voor vBulletin en kregen het wachtwoord van een moderator." Zero-days zijn kwetsbaarheden waarvoor nog geen updates beschikbaar zijn.

Als bewijs voor hun acties maakte de groep een screenshot van de shell en database die het op de server van vBulletin.com had. Ook eist de groep de aanval op Macrumors.com op. Die website laat weten dat de aanvallers toegang tot een moderator-account kregen en daarna hun rechten wisten te verhogen om zo de inloggegevens van gebruikers te stelen. Hoe de aanvallers hun rechten konden verhogen wordt nog onderzocht.

Staging-server

Paul Marsden van het vBulletin ontwikkelteam laat echter weten dat de aanvallers het forum van vBulletin.com niet hebben gehackt, maar een oude staging-server die voor testdoeleinden werd gebruikt. De server zou ook niet deze maand zijn gehackt, maar vermoedelijk ergens in oktober. De downtime die vorige week plaatsvond zou door gepland onderhoud zijn veroorzaakt. Hoe de hack kon plaatsvinden laat Marsden niet weten.

Vanwege de onduidelijkheid besloot de hackerconferentie DEF CON uit voorzorg het eigen vBulletin-forum te sluiten. "We hebben de fora gesloten totdat er een oplossing voor een vermeend beveiligingslek is", aldus de boodschap aan forumgebruikers.