Un ataque a Apache.org compromete contraseñas
- 13 de April 2010
- |
- Jairo
- |
- Sin comentarios »
Apache.org acaba de sufrir un cross-site scripting (XSS) contra su infraestructura que dio lugar a que las contraseñas de cualquier persona que usó el servicio de seguimiento de bugs en un lapso de tres dÃas la semana pasada se vieran comprometidas.
Los hackers comenzaron el ataque el 5 de abril mediante el envÃo de un informe de errores a Apache que incluÃa un enlace TinyURL, el cual contenÃa un exploit XSS. Varios administradores de Apache hicieron clic en el enlace, poniendo en peligro sus sesiones.
Los atacantes también llevaron a cabo un ataque de fuerza bruta que inundó el sitio con cientos de miles de combinaciones de contraseñas. Al 6 de abril, uno de los dos métodos permitió a los atacantes obtener todos los derechos administrativos en el sistema de seguimiento de errores. Durante tres dÃas, los hackers utilizaron sus privilegios para copiar los directorios y archivos de los usuarios e instalar un programa que registra las contraseñas de cualquier persona cuando accede al sistema.
Como resultado, los funcionarios dijeron que los usuarios de Apache que se conectaron a la sección de bugs del sitio web desde el 6 a 9 de abril “deberÃan considerar la contraseña como comprometida, porque los atacantes cambiaron el formulario de acceso para iniciar sesión.” También advirtieron que hay un alto riesgo de comprometer a otros usuarios si empleaban contraseñas sencillas basadas en palabras del diccionario.
Visto en The Register
