MangaDex До скорой встречи!

MangaDex.

21 марта 2021 г..

Из-за недавнего взлома MangaDex будет недоступна до дальнейшего уведомления. .

Вместо того, чтобы поддерживать потенциально уязвимый веб-сайт и тратить наше время и усилия, играя в кошки-мышки с постоянными атаками от DDoS до взлома, мы решили воспользоваться этой возможностью, чтобы переориентировать и ускорить нашу запланированную переработку сайта под названием v5. Однако, вопреки нашим первоначальным планам, мы запустим эту версию 5, как только будут готовы минимальные основные функции..

Поскольку разработка и поддержка MangaDex — это чья-то реальная работа, трудно дать точную оценку того, когда мы вернемся к работе. Само собой разумеется, что каждый из нас хочет, чтобы это произошло как можно скорее..

Тем не менее, если все пойдет так гладко, как мы смеем надеяться, мы можем ожидать простоя всего на неделю или две. Или три.

Чтобы быть в курсе последних новостей о наших успехах, подпишитесь на нас в Twitter..

А пока найдите время, чтобы прочитать этот полный отчет о том, что произошло, каковы были наши варианты планов действий, как утечка данных могла повлиять на вас и как вы можете помочь, раскрывая уязвимости..

Все часы указаны по всемирному координированному времени..

1. Краткое резюме:

Три дня назад (2021-03-17) мы правильно определили и сообщили, что злоумышленнику удалось получить доступ к учетной записи администратора путем повторного использования токена сеанса, обнаруженного в старой утечке базы данных, из-за неправильной конфигурации управления сеансом. После этого события мы перешли к выявлению уязвимого участка кода и работали над его исправлением, а также глобально очистили данные сеанса, чтобы предотвратить дальнейшие попытки эксплуатации с помощью того же метода..

После взлома мы начали проводить много часов, просматривая код на предмет возможных дальнейших уязвимостей, и начали исправлять то, что мы могли найти, в меру своих возможностей. Это происходило параллельно с тем, как мы открывали сайт после взлома, поскольку мы ошибочно предположили, что злоумышленник не сможет получить дальнейший доступ. Однако в качестве меры предосторожности мы начали развертывание мониторинга нашей инфраструктуры и оставались бдительными на случай, если злоумышленник вернется..

2. Почему мы снова спустились?

20.03.2021, 01:52:48 злоумышленнику удалось получить доступ к учетной записи одного из наших разработчиков, который ранее не работал четыре дня. Однако на этот раз мы сразу заметили это и закрыли сайт в 01:53:40, чтобы продолжить расследование..

20.03.2021, 02:10, злоумышленник отправил первым десяти пользователям электронное письмо с текстом: «У MangaDex есть утечка БД. Предлагаю вам рассказать об этом их сотрудникам ». отказ от каких-либо претензий на выкуп. Двигаясь вперед, хотя у нас нет четких доказательств того, что произошло нарушение базы данных, в целях обеспечения наилучшей безопасности мы будем предполагать, что это произошло..

20.03.2021, 03:41, злоумышленник обновил репозиторий git, содержащий утечку исходного кода, заявив, что мы успешно исправили две из трех возможных CVE. Не имея возможности подтвердить заявления, мы предположили наихудший сценарий и закрыли сайт для дальнейшего расследования..

3. Что мы сделали с тех пор?

На момент написания мы пригласили множество добровольцев, чтобы помочь нашим разработчикам определить последний возможный CVE, заявленный злоумышленником в базе кода. Благодаря нашим волонтерам мы выявили большое количество потенциальных недостатков безопасности и приступили к их исправлению. Однако на момент написания нам еще предстоит идентифицировать последний возможный CVE, заявленный злоумышленником..

Помня об этом, мы столкнулись с трудным решением. Если бы мы ошибочно предположили, что веб-код теперь безопасен, злоумышленник снова может скомпрометировать нас. В результате этого, с чистой совестью, мы не могли повторно открыть веб-сайт для пользователей в настоящее время..

Наконец, наш штат состоит из волонтеров. Добровольцы с реальными жизненными обязательствами и обязанностями, которые не зарабатывают ни цента за волонтерство в MangaDex. Хотя мы стремимся предоставить вам лучший сервис, повторяющиеся атаки начинали сказываться на всех нас, нам приходилось многократно сканировать тысячи строк кода, пытаясь найти образную иголку в стоге сена. Мы оценили свой выбор и пришли к выводу, что это неприемлемо как для наших пользователей, так и для нас самих..

4. Что мы планируем делать сейчас?

Видя, что злоумышленник не намерен помогать нам в решении проблем безопасности, а вместо этого более заинтересован в том, чтобы нанести максимальный ущерб MangaDex, мы решили оставить сайт в автономном режиме, пока мы не будем уверены в его безопасности. Мы рассмотрели ряд имеющихся вариантов, а именно: вернуть сайт в его (потенциально уязвимое) текущее состояние и продолжить наблюдение за признаками новых атак. Мы отказались от этого, поскольку это может привести к большему количеству аварийных простоев, что расстроит наших пользователей, а также наших сотрудников. Верните сайт в состояние ослабления / доступа только для чтения, чтобы злоумышленник не мог вносить дальнейшие изменения. Мы отказались от этого, потому что это будет означать, что публика не сможет загружать файлы, и только наши модераторы смогут, что возложит на них большую нагрузку. Удалите из сайта большинство его функций, так что останутся только важные функции, которыми нельзя злоупотреблять. Однако время, потраченное на это, лучше потратить на v5, так что это не разумный вариант. Закройте сайт, пока не будет полностью готова v5 (полная перезапись сайта). Как упоминалось ранее, злоумышленник имеет доступ к коду v3, поэтому этот вариант будет относительно более безопасным. Однако, учитывая текущий прогресс v5, это будет означать, что хакеру удастся лишить сообщество манги на более длительный период времени, что, скорее всего, является мотивом хакера на данный момент (заставить нас отключиться). Закройте сайт, пока не будет создана баребонная версия v5. Он будет содержать только минимально необходимые функции, а именно, чтобы читатели могли читать, подписываться и группам загружать, во многом так же, как изначально была выпущена версия 1 MangaDex (для тех из вас, кто придерживался нас с тех пор), но с использованием тех же технологий. мы запланировали для v5.

Мы решили, что вариант (e) будет лучшим подходом, так как он обеспечивает хороший баланс между временем простоя и работой, чтобы вернуть сайт в работоспособное и (что наиболее важно) безопасное состояние..

5. Нарушение данных & Ты.

Несмотря на то, что у нас есть многочисленные признаки того, что злоумышленник имел доступ к информации, которая обычно не видна из контекста обычного пользователя, мы не смогли подтвердить взлом полного хоста или взлом базы данных в актуальном состоянии. Мы намерены и дальше внимательно следить за обоими и стремимся обновлять их по мере изучения и новых открытий. Однако в дальнейшем мы и наши пользователи, и мы заинтересованы в том, чтобы считать базу данных взломанной..

Как пользователь, мы рекомендуем вам предположить, что ваши данные были взломаны, и немедленно принять меры предосторожности, такие как изменение паролей любых учетных записей, которые могут использовать тот же пароль, что и ваша учетная запись MangaDex. Как правило, рекомендуется использовать менеджеры паролей для обеспечения безопасности вашей личности в Интернете..

6. Раскрытие информации.

Тем временем мы по-прежнему открыты для любых предложений или ответственного раскрытия уязвимостей, обнаруженных в утечке исходного кода версии 3. Хотя на момент написания статьи мы обнаружили их множество и перешли к исправлению большинства из них, мы ценим все попытки помочь нам найти больше. Для получения дополнительной информации или раскрытия информации, пожалуйста, обратитесь к сотруднику нашего Discord.

7. Bug Bounties.

Двигаясь дальше от этого инцидента, мы искренне намерены улучшить безопасность существующей и будущей инфраструктуры, и, хотя некоторые из наших разработчиков имеют опыт в области безопасности, мы решили, что наличие некоторой формы программы вознаграждения за ошибки для версии 5 только докажет быть полезным для MangaDex. В качестве подтверждения мы намерены рассмотреть выплаты в зависимости от серьезности обнаруженных ошибок. Более подробная информация будет опубликована в ближайшее время..

Похожие статьи