Hackeo/intrusión: Nuevo inicio de sesión desde

Soporte
1

Hola a todos, soy administrador en otro sistema Discourse y esta mañana me desperté con cuatro correos electrónicos que indicaban un inicio de sesión no autorizado (véase el ejemplo a continuación).

Vivo en Nuevo Hampshire, EE. UU., por lo que es correcto que Discourse haya marcado este inicio de sesión desde Alemania. Siempre he utilizado una contraseña segura (de 15 letras, aleatoria), la cual he cambiado recientemente. Tengo en mi poder las dos computadoras que he utilizado para iniciar sesión.

Algunas preguntas:

  1. ¿Alguna idea de cómo podría haber ocurrido esto?
  2. Mi página de perfil mostraba otro inicio de sesión (también “desde Alemania…”) en las 24 horas anteriores al mensaje a continuación. Sin embargo, no recibí ninguna notificación de ese inicio de sesión, ni en mi bandeja de entrada ni en la carpeta de spam. ¿Cómo pudo haber ocurrido eso?
  3. Parece que el atacante pudo haber exportado la lista de usuarios. ¿Es posible saber si alguna vez se descargó?
  4. ¿Tienen un plan de acción o procedimiento estándar para notificar a los usuarios?
  5. ¿Qué otra información podría proporcionar para diagnosticar o investigar esto?

Muchas gracias.

[Disculpen si esta no es la categoría correcta. @moderadores, por favor, muevanlo al lugar adecuado. Gracias.]

2

¿Tienes la autenticación en dos pasos (2FA) activada? Si no, actívala lo antes posible.

2 Me gusta
3

No, pero activaré la autenticación en dos pasos. ¿Alguna opinión sobre las otras preguntas? Gracias.

4

Reutilización de contraseñas, contraseñas débiles, keyloggers, redes Wi-Fi compartidas, etc.

Registros de Nginx.

Si el atacante pudo haber obtenido una copia de seguridad, lo cual también requiere acceso al correo electrónico, consulta: What to do if your Discourse is compromised

Si no, un tema con banner o un tema en una categoría donde todos reciban notificaciones podría ser suficiente.

7 Me gusta
5

¿Y eso fue mientras dormías? ¿No es posible que hayas obtenido una nueva dirección IPv6 y que MaxMind simplemente tuviera la ubicación incorrecta?

6

Gracias por la nota.

  • Sí, estaba durmiendo.

  • Esa dirección IPv6 no pertenece a mi rango (utilizo el de Hurricane Electric, en el rango 2001:470:…).

  • Tenemos pruebas de que el intruso intentó agregar su correo electrónico a una cuenta de administrador, descargar la lista de usuarios y obtener la copia de seguridad de la base de datos. No se otorgó acceso a la nueva dirección de correo electrónico; asumimos que obtuvieron la lista de usuarios, pero que no pudieron acceder a esta última (la base de datos) porque aún no habían obtenido la dirección de correo electrónico.

Por lo tanto, asumimos que los correos electrónicos y los nombres de usuario han sido comprometidos, pero que la base de datos no se ha descargado (registros de nginx).

¿Hay algo más que debamos buscar? Muchas gracias.

4 Me gusta
7

¡Qué bueno saber que 3 de nuestras protecciones fueron útiles:

  • El invasor no pudo obtener copias de seguridad debido al flujo de correo electrónico necesario

  • El invasor no pudo obtener acceso de administrador en un correo electrónico que controla porque se requieren confirmaciones por correo electrónico para ambas direcciones

  • Correos de advertencia cuando se inicia sesión desde una ubicación lejana

Una cosa que debes verificar es si Discourse está ejecutando la versión más reciente, para que esté parcheado contra cualquier vulnerabilidad conocida.

12 Me gusta
8

¡Sí, y cada una de esas protecciones se añadió individualmente tras una lección ganada con esfuerzo, por lo que es especialmente satisfactorio verlas funcionando todas juntas en armonía! :raising_hands:

7 Me gusta