Хостер Linode опять взломан, пароли могут быть украдены

Интересная история разворачивается вокруг хостинг-провайдера Linode. В пятницу 12 апреля сменились пароли у всех пользователей Linode Manager. В официальном заявлении компания пояснила, что обнаружила «подозрительную активность» во внутренней сети. При этом компания «не обнаружила свидетельств доступа к данным Linode или к данным любого пользователя», а также нет свидетельств доступа к финансовой информации клиентов. Несмотря на это, компания на всякий случай сменила пароли для всех.

Самое интересное началось 15 апреля, через несколько дней после смены паролей. Один из пользователей Linode на форуме сообщил, что с ним связались представители хакерской группы HackThePlanet и заявили о наличии конфиденциальной финансовой информации, которую получили благодаря взлому Linode. В качестве доказательств они предоставили листинг файлов с сервера Linode. В IRC-чате они также выложили несколько парольных хэшей админов Linode и заявили о краже парольной базы пользователей и базы с платёжными реквизитами клиентов.

По словам представителей хакерской группы, они использовали эксплойт для ColdFusion и получили доступ к manager.linode.com. Сервер был взломан в течение нескольких недель, хакеры получили доступ к парольным хэшам, которые скрэмблированы с помощью алгоритма sha256crypt. Хакер сказал, что они достигли договорённости с компанией Linode не разглашать информацию о взломе, но та сама нарушила договор, обратившись в правоохранительные органы. Поэтому базу данных с паролями и кредитными картами хакеры могут слить в открытый доступ в любой момент.

Компания Linode вечером в понедельник подтвердила, что взлом действительно был осуществлён через 0day уязвимость в сервере приложений Adobe ColdFusion, и что хакеры получили доступ к базе данных, но там вся информация зашифрована. В открытом виде хранились только пароли Lish (Linode Shell).