Настало время и повилась возможность прояснить ситуацию и успокоить уважаемое инвестиционное сообщество.
Мы в целом придерживаемся политики давать информацию в которой есть 100% уверенность.
В последнее время действительно фиксировался некоторый статистически значимый рост доступа посторонних лиц к аккаунтам пользователей.
Поиск уязвимости занял несколько недель, взломщик был достаточно осторожен и хитер.
Судя по всему, подобная уязвимость существует на подавляющем большинстве хостингов в мире, поэтому после того как мы её обнаружили и опубликовали отчет, взломы на других хостингах участились.
Технический отчет об уязвимости можно почитать вот здесь:
http://habrahabr.ru/post/174423/
http://trac.roundcube.net/ticket/1489021
Если суммаризировать логи и патчи, в веб-почте была утечка файлов, приводящая к утечке паролей пользователей.
Переходя от части вводной к части практической я хочу ответить на вопросы уважаемого инвестиционного сообщества в форме краткого FAQ, который будет по необходимости дополняться:
Q. Почему вы сразу не сказали?
A. Потому что ответ в стиле "мы не ломаем, а кто ломает пока не знаем" вы не примите
Q. Вы знаете кто ломал?
A. Прямых данных нет, есть косвенные (IP, адреса электронной почты), которые скорее всего не приведут к злоумышленникам. Наиболее вероятно, что действовала группа лиц, предположительно из Европы
Q. Как можно вам доверять после этого?
A. Так же как и любому хостинг-провайдеру, понимая, что мы нашли уязвимость первыми в мире и далеко не обязательно все остальные читают habrahabr
Q. Вы специально придумали оправдание?
A. Нет, мы не скрываем симптомы, мы ищем причину.
Q. Вы уже что-то сделали чтобы обезопасить имеющихся пользователей?
A. Всем пользователям были принудительно изменены пароли FTP еще до публикации поробностей уязвимости. Принудительное изменение паролей баз данных не производилось, так как доступ к базе данных не приведет к выводу денег, но изменение пароля повлечет даунтайм сайта и ненависть клиента. Откройте пожалуйста тикет, если вам необходима смена пароля к БД
Q. Что еще можно сделать чтобы обезопасить себя?
A. Обычно злоумышленники заливали шел непоредственно для вывода и потом удаляли его. Тем не менее гарантии что сайт не содержит шелов дать нельзя, мы настоятельно рекомендуем переустановить скрипты и шаблоны, проверив подозрительные файлы
Q. Будет ли какая-то компенсация пострадавшим?
A. Клиентам, пострадавшим от действий злоумышленников мы дарим месяц премиум-хостинга бесплатно
Q. Имеет ли это отношение к первому сообщению в теме и скрипту GC?
A. Нет, это несвязанные события, за тем лишь исключением, что анализ запросов к GC мы делали из-за участившихся сообщений о взломах и обнаруженная там уязвимость дала нам повод несколько раслабиться
Q. Вы не ответили на мой вопрос, где его лучше задать?
A. Самое лучшее - в тикете, можно в скайпе технической поддержки. Сюда мы будем добавлять ответы на наиболее популярные вопросы.
Update 28-03-13 00:16
Q. Можно ли надеяться что больше нигде ничего нет и что-то подобное не случиться еще раз?
A. Надеяться - не наш метод. В ближайшее время мы введем уведомление по SMS о входе на FTP, планируется двухфакторная авторизация в биллинге. В любом случае, ваша безопасность приоритет для нас.
Прошу обратить внимание, это сообщение создается не с целью поддержания флуда, а для спокойного обсуждения вопросов безопасности. Не стоит ожидать немедленных ответов на посты в стиле "а я всё равно думаю что вы воры!!!!1111одинодин"
