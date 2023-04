Kodi Foundation ha comunicato che il database del forum è stato messo in vendita online. Ignoti cybercriminali hanno effettuato il dumping del software MyBB attraverso un account amministratore compromesso. I ricercatori di KELA hanno scoperto che il database era finito su Breached, il noto forum gestito da Pompompurin e chiuso a fine marzo.

Data breach confermato

Il dump del forum è stato scoperto lo scorso 8 aprile. I log hanno confermato che l’accesso alla console di admin è avvenuto attraverso un account amministratore inattivo il 16 e il 21 febbraio. L’account è stato sfruttato per creare copie di backup del database, successivamente scaricate e cancellate. L’account amministratore è stato eliminato e il forum è stato chiuso.

I backup del database contengono tutti i post (pubblici e quelli del team Kodi), tutti i messaggi scambiati tra gli utenti, i dati degli utenti (tra cui username e indirizzo email) e le password cifrate generate dal software MyBB 1.8.27.

Anche se le password non sono in chiaro, Kodi ha pianificato un reset totale. Gli utenti che usano le stesse credenziali per altri servizi dovrebbero cambiarle al più presto. Per verificare se l’indirizzo email è stato compromesso è possibile utilizzare il sito Have I Been Pwned.

Il team ha avviato il processo di installazione di un nuovo server per il forum. Verrà utilizzata l’ultima versione di MyBB, ma è necessario un lavoro di alcuni giorni. Sono previste inoltre misure di sicurezza aggiuntive per gli account amministratori. Anche il wiki, attualmente offline, verrà spostato su un altro server con l’ultima versione di MediaWiki.

Prima della chiusura, l’utente Amius aveva messo in vendita il database su Breached. Il dump, effettuato il 15 febbraio, includeva i dati di 400.314 utenti del forum Kodi.