Whmcs.com Hackeado?

[edvan]

rpz. esse post tá equisito.

[hostbr]

Para quem quiser ler.

Em cache pelo google:

http://webcache.goog...Sm4mAY0Ek&pbx=1

Aqui nem no cache foi.

corrigindo: apenas a versão de texto foi.

[Elisei]

Alguns defendem, outros falam mais, no entanto minguem vai no ponto, a WHMCS falhou, pronto é isto, simples assim. Todos podem falar, a mais falhas existem, mais trabalhamos para se ocorrer um problema ele não afete nossos negócios. Também irão falar, a mais a falha não foi no sistema, eu diria pior ainda, roubaram informações mais valiosas que o sistema, isto é de menos.

Temos que ficar mais atentos sim, quem tiver condições, deve investir em um sistema próprio, o mercado é o mercado, e afinal de contas, estamos no Brasil, bem longe, simplesmente podem virar as costas e falar, se lasque.

Então, não é atirando pedra ou sendo bonzinho, mais o Matt, mijou fora do penico e isto é inegável.

Assinado, registrado e homologado!

Perfeita a colocação @Angel, esqueceram da responsabilidade da empresa e ficaram no trololó contra o cara que fez isto, mas a merda está no lado deles, o crime nas mãos do hacker, mas isto é outra história.

[Pedro Lazari]

Acabei de lê esse artigo ( http://krebsonsecuri...of-the-trouble/ ) e caso seja verdade o que foi informado a situação complica! Em português http://migre.me/9d8QU

Particularmente eu não levo fé no que foi escrito.

A Edvan, Fiquei um pouco preocupado ao ler a matéria, nós e ate mesmo o Matt, devemos pensar numa solução urgente para o que esta acontecendo com a WHMCS, por que, não podemos esquecer que temos clientes, e que estes clientes colocam todos os dados deles em nossas mãos, se não podemos garantir o minimo de segurança para nossos clientes ( isso é maior parte do WHMCS ) acho que devemos mudar o sistema. A não ser que o Matt trabalhe em melhorias, já na versão 5.1.

[edvan]

A Edvan, Fiquei um pouco preocupado ao ler a matéria, nós e ate mesmo o Matt, devemos pensar numa solução urgente para o que esta acontecendo com a WHMCS, por que, não podemos esquecer que temos clientes, e que estes clientes colocam todos os dados deles em nossas mãos, se não podemos garantir o minimo de segurança para nossos clientes ( isso é maior parte do WHMCS ) acho que devemos mudar o sistema. A não ser que o Matt trabalhe em melhorias, já na versão 5.1.

Pelo que sei não está ocorrendo nenhum problema/falha de segurança com o sistema em si.

Nem sabemos se o que foi relato no post é verdade, eu tenho minha dúvidas.

Vou entrar em contato com a WHMCS.com e ver o que eles dizem a respeito.

[Jesmarcelo]

Até agora não consegui acessar o link para ler a matéria, nem o cache funciona, existe algum outro local onde eu possa ler?

[edvan]

Até agora não consegui acessar o link para ler a matéria, nem o cache funciona, existe algum outro local onde eu possa ler?

Consegui acesso via cache, veja abaixo:

WHMCS Breach May Be Only Tip of the Trouble

A recent breach at billing and support software provider WHMCS that exposed a half million customer usernames, passwords — and in some cases credit cards — may turn out to be the least of the company’s worries. According to information obtained by KrebsOnSecurity.com, for the past four months hackers have been selling an exclusive zero-day flaw that they claim lets intruders break into Web hosting firms that rely on the software.

WHMCS is a suite of billing and support software used mainly by Web hosting providers. Following an extended period of downtime on Monday, the privately-owned British software firm disclosed that hackers had broken in and stolen 1.7 gigabytes worth of customer data, and deleted a backlog of orders, tickets and other files from the firm’s server.

The company’s founder, Matt Pugh, posted a statement saying the firm had fallen victim to a social engineering attack in which a miscreant was able to impersonate Pugh to WHMCS’s own Web hosting provider, and trick the provider into giving up the WHMCS’s administrative credentials.

“Following an initial investigation I can report that what occurred today was the result of a social engineering attack,” Pugh wrote. “The person was able to impersonate myself with our web hosting company, and provide correct answers to their verification questions. And thereby gain access to our client account with the host, and ultimately change the email and then request a mailing of the access details.”

Meanwhile, WHMCS’s user forums have been and remain under a constant denial-of-service attack, and the company is urging customers to change their passwords.

As bad as things are right now for WHMCS, this rather public incident may be only part of the company’s security woes. For several years, I have been an unwelcome guest on an exclusive underground forum that I consider one of the few remaining and clueful hacking forums on the Underweb today. I’ve been kicked out of it several times, which is why I’m not posting any forum screenshots here.

In February, a trusted and verified member of that forum posted a thread titled,” WHMCS 0-day,” saying he was selling a previously undocumented and unfixed critical security vulnerability in all version of WHMCS that provides direct access to the administrator’s password. From that hacker’s sales thread [link added]:

“No patches for it until now, vulnerability is a full blind SQL injection discovered by me. Wrote an exploit for it that works from command line which extracts admin hash from [database]. No need to decode md5 hash, can login directly with faking cookies. :)

Also can provide 3 methods to upload shell from the whmcs panel after logging in as admin.

will sell exploit to maximum 3 buyers.

-Price: $6k USD

-Payment Method: LR [Liberty Reserve]“

According to this hacker, WHMCS doesn’t properly validate input supplied by users. As a result, an attacker who knew how to exploit this bug could force a WHMCS installation to cough up the credentials needed to administer it. The seller also is offering buyers an easy way to maintain remote access to compromised WHMCS installations via a Web browser.

I’ve reached out to WHMCS for comment, and will update this post in the event I hear back from them. I’m taking WHMCS at their word about the source of their breach, but it goes without saying that this vulnerability could have offered the attackers another way in (assuming that the company relies on its own billing and support software).

Just a short note about some of the media coverage I’ve seen on the larger breach story. Some reports have called WHMCS a “cloud billing provider,” but it doesn’t appear that WHMCS offers a hosted solution of their product exactly. Near as I can tell, the company sells its software for a one-time fee (with annual update fees), or for a monthly lease fee. They do seem to partner with other companies to provide them with licenses for resale, an in those cases support may have been handled by WHMCS. In this case, the software would call home to a licensing server, and those customers may have been among the most heavily impacted by this attack.

There are lengthy and interesting discussion threads about this directly from users of the software, at webhostingtalk.com and lowendtalk.com. Many users seem to be worried that the data stolen the now-public breach may include WHMCS direct customer data, as well as the location of the installed software and credit card data, and passwords for WHMCS installs that were done by them or supplied during troubleshooting.

According to one user I interviewed but who asked not to be quoted by name, the biggest problem with the software is that it stores the decryption key in its configuration file. “So any billing gateway that doesn’t use tokenization would have the credit card numbers stored in the MySQL database, encrypted with the key,” the user said.

[Cristian Augusto]

Acabei de receber um e-mail do Matt. A coisa vai ficar feia!

Dear Customer,

This is a follow up to the Urgent Security Alert email sent earlier this week. As you will be aware from that, we were the victim of a malicious attack which has resulted in our server being accessed, and our database being compromised.

As a security precaution, we are expiring all passwords for our client area. In order to restore access to your account, please visit the following url to reset your password:

https://www.whmcs.co...ers/pwreset.php

We have restored all essential services except for our forums, and resumed normal operations as quickly as possible in order to keep licensing and support channels open. We are still actively working to restore the forums, and we expect them to return to operation soon.

A full security audit and hardening was undertaken immediately following the breach, and the site remains safe to use. It is important to note that the breach we experienced was the result of a social engineering attack, and not the result of a hack or a breach in the WHMCS software.

We continue to experience a distributed denial of service attack, which has caused disruption to our public facing site. We are in the process of moving to a more expansive infrastructure which should mitigate this type of attack in the future. With this move, we will have a much stronger setup with additional layers of security, and these upgrades to our infrastructure will ultimately mean that our servers, and your data, will be better protected than ever before.

Please be aware, that in order to deliver these security upgrades, we expect some very brief downtime during the migration process. We apologize in advance for any inconvenience this may cause.

While we are all currently focused on security, we would like to take this opportunity to ask everyone to read our Security Guide @ http://go.whmcs.com/22/security

While it would be ideal for all steps to be followed, we recommend that you at least rename(http://go.whmcs.com/23/securityfolder), and apply IP protection (http://go.whmcs.com/24/securityip) and/or password protection (http://go.whmcs.com/25/securityadmin) to the admin directory.

We are continuing to work tirelessly to resume normal service and regain your trust. On behalf of everyone at WHMCS please accept my apologies for the inconvenience and we thank you for your support.

----

Matt

WHMCS Limited

www.whmcs.com

[eloimarquessilva]

Olha eu particularmente não estou muito confiante quanto a veracidade desta suposta falha que estão vendendo por 6k.

O que me faz ficar com um pé atras sobre esta falha é:

Se já fazem 4 meses que descobriram a falha e ela permite TOTAL acesso e controle sobre uma instalação WHMCS porque tiveram que usar engenharia social para roubar o banco de dados do WHMCS oficial? Não bastaria usar apenas esta falha, entrar sem ser notado, roubar que queriam e sair ou pior continuarem roubando. Porque fazer tanto alarde até o ponto de envolver o FBI (se é que isso é grande coisa)?

Este é um ponto que levanta minhas suspeitas sobre essa falha em específico.

Agora uma coisa SERÍSSIMA é o fato dos caras estarem com os dados dos clientes no tocante aos sites e pastas de instalação como foi dito pelo amigo (eu já havia pensando nisso e falei não sei se aqui ou em outro forum). Agora não precisam mais usar o GOOGLE para ficar procurando empresas que usam o WHMCS basta usarem a base que já tem.

Gente roubar e-mail de uma empresa de software? Foi amadorismo sim! Aqui meus e-mails são todos no Google com autenticação em 2 etapas ou seja não tem jeito do cara acessar sem receber o código de verificação no celular. Pronto resolvido...

To é pensando em usar o nulled pelo menos assim meus dados de faturamento e instalação do WHMCS estarão seguros hahahaha

[Elisei]

Se já fazem 4 meses que descobriram a falha e ela permite TOTAL acesso e controle sobre uma instalação WHMCS porque tiveram que usar engenharia social para roubar o banco de dados do WHMCS oficial?

@eloimarquessilva como diria o famoso filosofo Manolo Uma coisa é uma coisa, outra coisa é outra coisa!

O fato de poder haver uma falha que garanta acesso total não inibe que se explorem outras falhas do sistema, se fosse assim as empresas de segurança trabalhariam apenas com uma falha por vez.

Eu não tenho host, mas se tivesse já estaria trabalhando em banners e seo para termos como host sem whmcs, cloud que não trabalha com whmcs e tudo mais que seja interessante para os próximos meses...

Não sei se a falha existe mas garanto que muitos, muitos clientes mesmo sabendo que a falha se deu no whmcs irá, corretamente culpar o seu host caso perca algum dado ou fique fora do ar.