Onderzoeker waarschuwt voor zelf hosten vBulletin-fora
De afgelopen weken zijn meerdere webfora gehackt die op vBulletin draaide en waarbij de gegevens van miljoenen internetgebruikers werden buitgemaakt. Het probleem is echter niet de vBulletin-forumsoftware zelf, maar beheerders die de forumsoftware zelf hosten en niet updaten.
Dat stelt de Australische beveiligingsonderzoeker Troy Hunt. Onder de getroffen fora bevinden zich GTAGaming, Epic Games, Dota 2, Disney en Ubuntu Forums. Bij elkaar opgeteld zijn alleen al bij deze hacks de gegevens van zo'n 5,3 miljoen gebruikers buitgemaakt. "Er is een probleem met websites die vBulletin hosten en worden gehackt, maar ik zeg niet dat het gehele probleem vBulletin is", aldus Hunt.
In het geval van GTAGaming, een fansite rondom het gelijknamige computerspel, draaide het forum op vBulletin 3.8.7. VBulletin versie 3 verscheen in maart 2004, terwijl versie 3.8.7 op 28 februari 2011 uitkwam. Ruim drie jaar later verscheen versie 3.8.8, gevolgd door versie 3.8.9 op 17 juni 2015. Het forum van GTGaming liep 4,5 jaar achter met patches voor hun versie. "En dat is het echte verhaal met vBulletin, installaties die worden verwaarloosd", merkt Hunt op.
In het geval vBulletin-fora worden gehackt is het meestal niet via een zero day-kwetsbaarheid, maar via een bekend beveiligingslek dat al geruime tijd is gedicht, maar waarvan de patch niet is geïnstalleerd. Het beheren van een eigen forum houdt ook in het snel uitrollen van beveiligingsupdates, gaat Hunt verder. Beheerders zijn daarnaast verantwoordelijk voor de gegevens van de mensen die zich op het forum registreren. Volgens de onderzoeker is het dan ook verstandiger dat mensen die hun eigen installatie van vBulletin beheren dit uitbesteden.
Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
Updaten is inderdaad een kwestie van beheer, dus de beheerder(s) doen hun werk niet.
Misschien maar als je als bedrijf er jaren over doet om een nieuwe versie uit te geven kun je ook niet verwachten dat beheerders elke week gaan kijken of er nieuwe software is. Ik kan die vbulletin software dus ook niet heel erg serieus nemen. Er horen gewoon op regelmatige basis security fixes and patches te worden uitgebracht.
Of die updates 1 keer per jaar of 1 keer per week uitkomen, staat hier los van.
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Als het nient veilig is, dan voel ik me genoodzaakt om mijn account daar zo snel mogelijk te laten verwijderen.
PHP programmeurs daar mee laten werken is kennelijk wel een erg groot risico...
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Maar het gaat hier om een fansite.
m.a.w. er is geen bedrijf in betrokken dat verantwoordelijkheid neemt hiervoor.
(Als het bij een hosting bedrijf is dat vbulletin aanbied dan zou je nog kunnen zeggen dat de hoster het gedwongen moet upgraden, maar wie is er dan verantwoordelijk als de site down gaat door een upgrade? Schade claims naar de hoster? Die gaat daar niet aan beginnen)
Als bedrijf moet je dit gewoon inregelen. Al laat je de receptie de versie nummers controleren.
Dus jij gaat tegen de lijn het management in. Wat denk je dat die moet jou doen?
En kan je aantonen dat er iets stuk is en wat de kosten - baten zijn? Zo niet niet dan heb je niets..... ook al heb je gelijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.