4chan взломан из-за устаревшего программного обеспечения, утечка исходного кода

Наконец-то это случилось.

После почти двухнедельного перерыва 4chan признался: сайт был взломан, и это была катастрофа. В довольно грубой записи в блоге команда призналась, что взлом произошел из-за того, что они не потрудились вовремя установить патчи безопасности. Судя по всему, хакер пробрался через старый, уязвимый пакет программного обеспечения, используя поддельную загрузку PDF-файлов, и дальше все пошло по спирали.

"С помощью этой точки входа они смогли получить доступ к одному из серверов 4chan, включая доступ к базе данных и к нашей собственной административной панели".

Оказавшись внутри, хакеры принялись за дело. Они провели несколько часов, копаясь в базе данных 4chan и копируя большие части исходного кода сайта. Сайт подчеркивает, что взломаны были не все серверы, но самый важный точно был взломан. Честно говоря, это просто ужасно, как легко это можно было предотвратить. Достаточно было обновить операционные системы и поддерживать кодовую базу в актуальном состоянии, но нет, они оставили все на самотек.

На самом деле взлом произошел 14 апреля. Большинство пользователей просто наблюдали за тем, как 4chan сгорает в огне, не зная, что кто-то внутри разрывает его на части. Что еще хуже, хакер начал сливать в сеть скриншоты и код, которые показывали, что 4chan все еще работает на древних версиях PHP и FreeBSD. Не самое лучшее зрелище для сайта, который всегда гордился своей хаотичной свободой. Оказалось, что хаос распространялся и на ИТ-отдел.

"Хотя не все наши серверы были взломаны, самый важный из них был взломан, и это произошло из-за того, что мы просто не обновляли старые операционные системы и код своевременно".

4chan не сообщил, сколько именно пользователей пострадало от взлома, а также были ли похищены пароли и личная информация. Отсутствие подробностей несколько настораживает, но это можно понять - прозрачность никогда не была их брендом. В то же время, похоже, основное внимание уделяется тому факту, что исходный код и некоторые инструменты администратора были изъяты, что может вызвать еще больше головной боли в будущем, если злоумышленники начнут копаться во внутреннем устройстве сайта.

Если вы бывали на игровых форумах 4chan, особенно в/v/, то знаете, что разговоры о взломах, утечках и безопасности - это почти повседневная тема. По иронии судьбы, в то время как пользователи годами анализируют провалы в системе безопасности игровых компаний, их собственная база стала жертвой одной из самых элементарных ошибок в кибербезопасности./v/ уже взорвался мемами об этом, а темы с названиями вроде "4chan взломали с помощью буквального PDF" и "обновите свои серверы, клоуны" быстро достигли предела популярности.

Изображение: "Это последний пост на 4chan перед тем, как сайт был взломан и все базы данных были уничтожены".

Это соответствует культуре. Привлекательность 4chan всегда заключалась в том, что он отказывался развиваться, цепляясь за Дикий Запад 2000-х годов. Но это упрямство в конце концов сильно их подкосило. В мире, где даже мелкие хакеры могут разорить вас одним ловким эксплойтом, оставаться в прошлом - это не эстетика, это ответственность.

На данный момент 4chan заявляет, что они залатали дыры и "пересматривают методы обеспечения безопасности" во всех подразделениях. Посмотрим, как долго это продлится. Большинство пользователей просто счастливы, что доски вернулись, даже если угроза нового взлома теперь висит над сайтом, как грозовая туча.

Пока что, если у вас есть аккаунт или вы когда-либо загружали что-то конфиденциальное (а этого делать не следовало), не помешает сменить свои вещи и предположить худшее. История показывает, что, попробовав крови, хакеры обычно возвращаются за вторым.