Whmcs.com Hackeado?

[Cristian Augusto]

Apenas uma dúvida, esse tal grupo hacker que aplicou engenharia social para ter acesso aos servidores do WHMCS, chegou alguma vez a admitir que realmente foi engenharia social?

[JMonteiro]

Nos tweets deles nao vi nada sobre como foi o ataque, mas não acompanhei muito.

[Cristian Augusto]

Será mesmo que foi por engenharia social?

[chuvadenovembro]

Se não fosse, acho que o prestador de serviço de hospedagem do whmcs, havia se manifestado e dito que nenhuma informação havia sido passado como o Matt comentou.

[eloimarquessilva]

@eloimarquessilva como diria o famoso filosofo Manolo Uma coisa é uma coisa, outra coisa é outra coisa!

O fato de poder haver uma falha que garanta acesso total não inibe que se explorem outras falhas do sistema, se fosse assim as empresas de segurança trabalhariam apenas com uma falha por vez.

@Elisei então, claro que não obrigatóriamente iniba mas não faz sentido nenhum executar um ataque de engenharia social para ter acesso a um banco de dados/servidor quando se pode chegar ao mesmo objetivo explorando uma falha muito mais silenciosa.

Não sou especialista em segurança (e peço que se tiver algum especialista se manifeste e até mesmo me corrija) mas pra mim engenharia social é última instancia em um ataque, é pra quando tudo mais que se tenta falha e acredito que seja o método mais fácil de se deixar rastros.

Esse pessoal está atras mesmo é de dados que os permita ganhar dinheiro de forma ilicita e sendo assim quanto menos atenção chamarem melhor.

Outro ponto é se essa suposta falha existe porque ainda não mostraram ao pessoal do WHMCS que ela realmente existe (um tiro de aviso)? Assim ficaria muito mais fácil extorquir dinheiro deles! Quatro meses e até o momento não temos nenhuma notícia de um ataque bem-sucedido usando essa falha zero-day.

Pra quem acredita na falha sugiro então botar o WHMCS off porque agora seria a melhor hora para atacar todo mundo porque o tempo de resposta do pessoal do WHMCS com um patch seria infinitamente maior do que o tempo normal (que alguns já reclamam que é demorado).

Veja bem, não estou defendendo o WHMCS na verdade apesar de usa-lo acho que muita coisa tem que melhorar na questão de segurança!

Quer ver um exemplo bobo? O sistema envia e-mails contendo as senhas do cPanel e da própria área do cliente e ARMAZENA ESTES E-MAILS DESCRIPTOGRAFADOS COM AS SENHAS NO BANCO DE DADOS. Se alguem conseguir fazer um inject nem precisa se dar ao trabalho de descriptografar senhas tá tudo lá, eu sei que podemos apagar os e-mails mas qtos de vocês fazem isso com uma regularidade que GARANTA a segurança dos dados dos seus clientes? Custava ter uma opção de trocar as senhas por **** antes de guardar o e-mail no banco de dados? De que adianta eu manter as senhas criptografadas se elas estão descriptografadas nos e-mails dentro do banco de dados? De que adianta armazenar os e-mails se preciso apaga-los diariamente para manter a segurança dos meus usuários porque a senhas estão planas no banco?

Temos que procurar ser imparciais e cautelosos e não dá para acreditar em tudo que hacker fala nem em tudo que o Matt fala.

[ESerra]

Não sou especialista em segurança (e peço que se tiver algum especialista se manifeste e até mesmo me corrija) mas pra mim engenharia social é última instancia em um ataque, é pra quando tudo mais que se tenta falha e acredito que seja o método mais fácil de se deixar rastros.

Na realidade engenharia social não está entre os últimos meios, muitas vezes é o primeiro, afinal de contas, o ser humano é um "bug" que não tem como ser corrigido na operação do sistema, você pode colocar quantas travas quiser, mas alguém vai ter as chaves e se essa pessoa falhar nada vai resolver. A alguns anos vi uma reportagem de uma empresa de segurança, eles espalharam pen drivers próximos a sede da empresa e esperaram eles serem achados, a maioria que foi achada acobou sendo plugada em algum computador da rede da própria empresa, moral da "estória"? Pra que arrombar se alguém pode te dar as chaves.

[JMonteiro]

Será? Chuva, acho que engenharia social não afeta muito o provedor, pois ao meu ver quem vacilou foi a whmcs.

A não ser que a hostgator tenha perguntado apenas dados irrelevantes e de fácil acesso, o que eu não acho provável.

[avonni]

Pessoal, calma lá. Pelo que consta no texto que o Edvan indicou (e que cita a tal falha 0-day do WHMCS) uma coisa não está relacionada com a outra.

O texto cita os problemas recentes do WHMCS.com e aproveita para informar que há vários meses atrás já havia sido postado em um fórum a existência de uma falha no sistema do WHMCS. Ou seja, dois problemas diferentes (e não relacionados).

Esse pessoal da UGNazi não usou essa falha porque provavelmente nem sabem dela!

Quem diz ter essa informação está vendendo por U$6.000 em um determinado fórum, e só vai vender pra 3 compradores. Mas enquanto a tal falha não for divulgada ou usada abertamente, permanece sendo só conversa.