Les forums vBulletin sous le feu des pirates

Le groupe de pirates Inj3ct0r Team a revendiqué l’attaque portée contre le site vBulletin.com, qui développe une offre de forums en ligne.

Les mots de passe d’un grand nombre d’utilisateurs auraient été téléchargés. Ce groupe de pirates se serait précédemment introduit sur le forum vBulletin du site MacRumors, où il aurait récupéré les informations de 860 000 comptes utilisateurs. Auparavant, les forums d’Ubuntu ont fait l’objet d’une attaque similaire.

Le groupe affirme s’être appuyé sur une faille zero day qu’il aurait découverte, et demande 7 000 dollars pour fournir le détail de la vulnérabilité et un correctif permettant de se prémunir contre d’éventuelles attaques.

Patch couteux pour faille bidon

Inj3ct0r Team joue donc la carte de la peur pour vendre un patch, dont tout porte à penser – vu la volonté de malfaisance de cette équipe – que son niveau de sécurité risque de se monter quelque peu hasardeux.

De son côté, l’équipe de sécurité du site vBulletin.com a mené sa petite enquête. Les pirates se seraient en fait basés sur une faille de sécurité connue depuis plusieurs semaines, consistant à injecter un compte administrateur dans le dossier d’installation de vBulletin. La solution consiste à supprimer le dossier ‘install’ après la mise en place du logiciel (chose que vBulletin.com aurait oublié de faire sur son serveur de test).

En plus de voler des données utilisateurs, les pirates semblent donc également avoir menti quant à la découverte d’une faille zero day.

Voir aussi
Quiz Silicon.fr – Crimes et châtiments sur Internet