Hamis bitHUmen hírlevélről kaptunk bejelentést. Többen jelezték, hogy a mai napon egy a bH szokásos hírlevelére megszólalásig hasonlító levél érkezett, amelyben emelt díjas sms küldésére próbálják rávenni a felhasználókat.

Fontos azonnal leszögezni, hogy az email természetesen nem valós, erről az oldalon is olvashattok a híreknél.

Az email természetesen kamu, nem vezettünk be semmilyen SMS támogatást.
Aki azt tapasztalja, hogy az oldalon használt email címére érkezett a levél, annak javasoljuk, hogy változtassa meg a jelszavát, esetleg azonosítókulcsát is.

Ami ezen felül aggasztó, hogy a levelek a bH-n regisztrált email címekre érkeznek és a levélben kiküldött adatok valósak (kivéve a regisztrációt), illetve az oldalon sokan kaptak privát üzenetet is, ami ugyanezt a szöveget tartalmazza:

Meghibásodott az egyik biztonsági szerver és igen drága a költsége. Sürgősen ki kellene cserélni, mert így nem biztonságos az oldal használata. Mivel az oldalon nincs támogatási rendszer és nem is vezetjük be emiatt, ezért létrehoztunk egy ideiglenes emeldíjas sms számot.

Az üzeneteket ráadásul pár perce (2012-03-07 09:11:02) küldték ki, így az oldal valószínűleg jelenleg is sebezhető állapotban van.

Frissítve: törölték a hamis pm-eket

Frissítve 2 (10:10): 

Még mindig nagy a baj, belépve a bH-ra az oldal azonnal átirányít egy ingyenes tárhelyre, ahol a már ismert üzenet fogad, hogy a szerver tönkrement, támogassátok az oldalt.

Az átirányítást az oldal forráskódjába ágyazott idegen JavaScript okozza, amit a támadó a szavazásnál illesztett be.

A Js tartalma:

document.write(‘<meta http-equiv=”refresh” content=”0; url=http://bithumen.be/logout.php” style=”visibility:hidden;display:none”>’);
document.write(‘<meta http-equiv=”refresh” content=”0; url=http://bithumeninfo.try.hu/” style=”visibility:hidden;display:none”>’);

Frissítve 3 (10:40):

Eltűnt a forrásból az átirányító JS.

Egyes userek a főoldalon láttak még hamis “1 új üzeneted érkezett” blokkot:

Tudom tudtok róla, de elég zavaró a főoldalon a felirat: ” 1 új üzeneted van! piros kerettel” holott ez nem is valódi, csak átirányít!

Frissítve 4 (11:02):

Újabb hiba, létrehoztak egy topicot (Milyen magyar Warez oldalakat ismersz?), amit megnyitva szintén átirányítja a látogatót az oldal.

Érintett fájl lehet a publog.php is.

Frissítve 5 (12:38):

Egy hozzászólás és a mellékelt kép alapján van rá esély, hogy megszerezték a behatolók az adatbázist. Nem tudjuk megerősíteni, viszont aki kicsit utánanéz, a név és user id töredékeknek láthatja, hogy egyezés van a kép és az éles adatok között.

Frissítve 6 (12:59):

Az oldal pár perce nem elérhető.

Frissítve 7 (14:23):

Az oldal újra él és virul.

Frissítve 8 (14:59): 

Az oldal egy adminisztrátora szerint nem történt adatlopás, a támadók nem fértek hozzá az adatbázishoz.