"Hackeados" multitud de sitios de SourceForge.net

Alguien con el alias "1337 hacker" ha realizado algunos defaces en algunos proyectos de SourceForge.net incluyendo el siguiente mensaje (abajo en rojo):


(traducido al español):

"Este es un proyecto cuya página web ha sido hackeada mediante un backdoor en SourceForge por un hacker 1337! Eres muy afortunado porque este mensaje es el único cambio que hice. Después de encontrar esta puerta trasera, yo, siendo amable, añadí este mensaje a algunos sitios alojados en SourceForge para advertirles, en lugar de exponer maliciosamente sus datos.
¿A quién le afecta este exploit?"

La verdad es más bien trivial: en una entrada del blog, los operadores de SourceForge dijeron que cada proyecto afectado tenía archivos que pueden ser accedidos por cualquier persona en la web (rw-r--r--  en la jerga Unix) y que en estos documentos figuran los nombres de usuario y contraseñas para la  edición del proyecto. Por lo tanto, cualquier persona que sabía dónde mirar en la página web de un proyecto podría encontrar, utilizar y exponer estas credenciales sensibles.


El personal de SourceForge explicaba:

"Al investigar se encontró que los proyectos afectados tenían archivos de configuración (que contenían los nombres de usuario y contraseñas de la base de datos) que se podían leer. En otras palabras, cualquier persona que buscara en el lugar adecuado podía obtener estos nombres de usuario y contraseñas y tener acceso directo a la base de datos."

Podría decirse que SourceForge debería asegurarse que no hay archivos legibles por todo el mundo de forma predeterminada. Sin embargo, los programadores tienen gran parte de la culpa por no poner los permisos adecuados. De hecho, el autor de los defaces comenta que encontró 44 sitios vulnerables de 850 comprobados, entre los que se incluyen grandes proyectos como el del famoso Angry IP Scanner:



SourceForge, que alberga a más de 320.000 proyectos, explica cómo configurar los permisos adecuados de los archivos y también cómo restablecer las contraseñas de base de datos del proyecto.

Fuente: '1337 hacker' scrawls all over careless coders' SourceForge sites

Comentarios