侵害されたフォーラム管理者

こんにちは、最近ソーシャルエンジニアリングによって、侵害されたユーザーに管理者権限を与えてしまいました。ログによると、そのユーザーは「データエクスプローラー」を有効にし、数人のユーザーをなりすまし以外には何もしていません。

このインシデントは私たちのフォーラムにどのような影響を与え、何か深刻なことはありますか？

なりすましにより、ユーザーのメールアドレスがログに記録されずに表示される可能性があります。

データ探索については…

ユーザーのメールアドレス、IPアドレス、パスワード（ハッシュとハッシュ化アルゴリズムですが、それがあればパスワードを取得できます）など、ほぼすべてのものを取得でき、クリック一つでエクスポートできます。クエリの作成と削除はログに記録されません。

グローバルにピン留めされた投稿とバナーを作成し、悪意のあるユーザーに管理権限が与えられ、その結果としてメールアドレスやIPアドレスなどが漏洩した可能性があることを通知し、パスワードを変更することを推奨します。

しかし、パスワードはハッシュ化されるので、その部分は安全ですよね？

ハッシュと照合できるアルゴリズムがあれば、ハッシュを復号できると思います。

全員にパスワードのリセットを強制する方法はありますか？アナウンスはしましたが、全員をカバーできるわけではありません。

そうは思いません。APIを使用して、すべてのユーザーにパスワードリセットメールを送信することができます。

何ですって？ 不可能です。暗号化により、ソーシャルエンジニアリングを使用しない限り、パスワードハッシュからパスワードを復元することは不可能です。
簡単に言うと、漏洩したパスワードハッシュは大きなリスクを伴いますが、誕生日、名前、電話番号などの情報を通じてパスワードを推測するのに役立つ可能性があります。しかし、パスワードハッシュだけに基づいてパスワードを復元できる人はいません。

塩とアルゴリズムについてはどうですか？

暗号アルゴリズムは、パスワードの写真を撮るようなものです。同じ人物が同じ写真を撮ることは確かですが、写真を受け取った人は、写真だけではあなたのDNAを復元することはできません。

パスワードソルトはパスワードのセキュリティを高め、漏洩した場合でもレインボーテーブルなどによる解読をより困難にします。

漏洩したパスワード3つすべてで安全ということですか？

それは絶対に安全ではありません。ユーザーが「ilovexxxx」や「名前+誕生日」のようなパスワードを使用しないなど、非常に優れたパスワード習慣を持っている場合、これらの方法はパスワードがクラックされる確率を大幅に減らすことができます。ユーザーが優れたパスワード習慣を持っていない場合、すべてのウェブサイト上のすべての口座が危険にさらされます。

Rubyコンソールですべてのユーザーのパスワードをランダムなパスワードにリセットすると、ログイン時にパスワードをリセットするように強制できます。

ありがとうございます！

管理者とユーザーに2FAを有効にするよう依頼してください。

それもやっています

パスワードをリセットする場合は、パスワードを変更する必要があることを知らせるバナーを掲示し、それを行う際のトラブルに対応できるように準備してください。

この回答が「解決策」としてマークされているのは誤解を招くと思います。

誤解を招くような内容だとは思いません。質問は、誰かが一時的に管理者アクセス権を取得した場合の影響についてであり、回答は、攻撃者が痕跡を残さずに（データベースの）一部をダウンロードできた可能性があるため、基本的にすべてが危険にさらされる可能性があるということです。

そして、パスワードハッシュは解読が非常に困難になる可能性がありますが、ユーザーのメールアドレスのような追加のコンテキストがあり、別のソースからの漏洩したパスワードにアクセスできる場合、いくつかの情報を組み合わせて成功する可能性があります。

「ハッシュとハッシュ化アルゴリズムがあればパスワードを取得できる」というイーサンの言葉は、ハッシュとハッシュ化アルゴリズムだけがあれば、すべてのパスワードを取得できるという意味だと私は思いました。

それが意図された意味であり、誤解を招くものだと感じました。おそらく、教育を受けていない人にとっては誤解を招くものなのでしょう。機会があれば、この興味深いテーマを調べてみます！

平均的なユーザーであれば、ほとんどのものを取得できます。

ハッシュとソルトがあり、レート制限がない場合、パスワードリストを使用した総当たり攻撃には、生のCPU以上のものはほとんど必要ありません。