Het gehackte discussieforum van Ubuntu is na een week weer terug in de lucht. Alle gebruikers hebben daarbij hun wachtwoord moeten veranderen, nadat een hacker zich via een gewiekste truc volledige toegang tot de database verschafte. De hacker nam daarbij alle gebruikersgegevens mee, nadat hij een forumbeheerder via een XSS-aanval (cross site scripting) had gepwnd.

Het gaat daarbij om de e-mailadressen en versleutelde wachtwoorden van alle 1,8 miljoen gebruikers. Daarmee valt de schade mee. Canonical bevestigt na uitgebreid onderzoek dat er geen andere Ubuntu- of Canonical-gerelateerde websites zijn gekraakt.

31 seconden

De aanvaller ging naar eigen zeggen voor het aantonen van de zwakke beveiliging van het Ubuntu-forum. Uit de reconstructie van Canonical blijkt nu dat de hacker op 14 juli wist in te loggen via het account van een forummoderator. Met die permissie postte hij een mededeling op het forum en stuurde hij privéberichten naar de drie forumbeheerders met de mededeling dat er een serverfout was opgetreden op de aankondigingspagina van het forum.

Eén van de drie beheerders hapte en nam een kijkje. Nadat hij zag dat er niets aan de hand was stuurde hij een reply op het privébericht van de hacker over deze bevindingen. Maar toen was het kwaad al geschied, want 31 seconden nadat de beheerder de aankondigingspagina had bekeken, en nog voor zijn reply, was de aanvaller reeds ingelogd als forumbeheerder en kon hij even later met behulp van PHP-code de gebruikersgegevens downloaden.

Op basis van deze bevindingen gaat Canonical uit van een XSS-aanval. Maar omdat één van de beheerders de eerste post van de hacker op het forum heeft gewist, blijft onduidelijk welke aanvalsmethode gebruikt is.

Beveiliging opgeschroefd

De aanvaller keerde uiteindelijk op 20 juli terug voor zijn defacement (zie afbeelding onder), waarna alle alarmbellen afgingen bij de Ubuntu-maker. De beveiliging moet nu een week later op orde zijn, schrijft Canonical op zijn blog, waar het lijst van verbeteringen publiceert en tevens zijn excuses maakt.