Хакеры получили доступ к базе данных OVH.com

    Как сообщает официальный источник, несколько дней назад была скомпрометирована внутренняя сеть французского офиса OVH в Рубе́(Roubaix). Был взломан почтовый аккаунт одного из администраторов, с помощью него был получен доступ другого сотрудника к внутренней VPN и уже оттуда злоумышленники добрались к аккаунту ещё одного системного администратора, у которого был доступ к «бэк-офису».

    Злоумышленники получили доступ к персональным данных европейских клиентов, в список которых входит имя, фамилия, номер паспорта, домашний адрес, телефон и зашифрованный пароль. Информация о кредитных картах не была извлечена, поскольку она не хранится в OVH.

    Несмотря на то, что пароли были зашифрованы алгоритмом SHA-512 с использованием соли, всем клиентам рекомендуется сменить свои пароли.

    Также хакеры проникли в систему выдачи серверов в Канаде и могли получить доступ к серверам клиентов, если последний не удалил SSH-ключ OVH со своего сервера и не сменил root пароль. Всем «счастливчикам», попавшим в этот список, были разосланы письма с новыми паролями для доступа к серверу.

    В связи с этим инцидентом были приняты необходимые меры, в том числе усиление уровня безопасности для доступа сотрудников к особо критичным данным. Теперь к фильтрации по ip и доступа по паролю, добавился USB токен YubiKey.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 16

      0
      Это очень плохо. Спасибо за информацию т.к. OVH не делало рассылку. Сменил все пароли.
        +2
        Делали рассылку вчера ночью. Я сразу после письма поменял пароли.
          0
          Я не получал (правда сервер не в Канаде)
          Теперь к фильтрации по ip и доступа по паролю, добавился USB токен YubiKey

          хорошо бы и для пользователей внедрить 2fa
        +1
        Астрологи объявили неделю взломов? Не здоровая какая-то тенденция.
          0
          астрологи объявили подготовку к Defcon
          +1
          Что значит «не забрали ssh-ключи с сервера»? Подразумевается «не удалили ssh-ключи с сервера»?

          А на кой ляд его туды подкладывают?
            0
            Честно признаюсь, не знаю. Но в официальном источнике присутствует такая фраза:
            As for the server delivery system in Canada, the risk we have identified is that if the client had not withdrawn our SSH key from the server, the hacker could connect from your system and retrieve the password stored in the .p file.
              +1
              Очевидно, что речь идёт про ~/.ssh/authorized_keys. И его можно только «удалить», «устранить», «очистить» и т.д., но никак не «забрать».

              Кстати, пропустили критическое «our», то есть «ssh-ключ от сервиса». Без этого можно только гадать чей ключ там надо было потереть.
                0
                Вот чёрт, это критическое «our» я и не мог увидеть до вашего комментария. Исправился, спасибо!
                  0
                  Это всё равно не снимает вопрос на кой ляд его туды подкладывают. (Как человек, занимающийся чем-то примерно похожим, могу сказать, что мы ключ «подкладываем», но это публичный ключ пользователя, который он явно указал, и у нас нет и быть не может соотв. закрытого ключа).

                  Нафига они этот ключ клали, да ещё его закрытую часть где-то у себя хранили?
                    +1
                    Нафига они этот ключ клали, да ещё его закрытую часть где-то у себя хранили?

                    «бэкдор» для техподдержки? так сказать, на всякий случай.
                      0
                      Бэкдор же. «Что вы мне тут дали, куда сайт класть!!!111». Это же OVH, там много серверов арендовано людьми, которые про putty никогда не слышали (не говоря уж про openssh клиент нативный).
                0
                Нет речь идет о пароле который устанавливают при установке os на сервер, его можно посмотреть в панели управления вроде как.
                Ключи они там никакие не ложат.
                Но в целом уязвимость такого же уровня.
                0
                Почему "inviting them to change their password" переведено как "были разосланы письма с новыми паролями для доступа к серверу"?
                  0
                  Потому что в следующем абзаце присутствует фраза "An email will be sent today with the new password" и относится к канадским клиентам.
                  А "inviting them to change their password" это "всем клиентам рекомендуется сменить свои пароли".
                  0
                  Не… смешно… я знаю я всех уже достал с багами в Struts2 во всех топиках — developer.apple.com, qiwi.ru. Но просто OVH.com имеет Struts2 для одного из сервисов с аутентификацией какой-то… И он не патченный. Прям щас может любой желающий получить шелл там…

                  Only users with full accounts can post comments. Log in, please.