Olá pessoal, sou administrador de outro sistema Discourse e esta manhã acordei com quatro mensagens de e-mail indicando um login não autorizado (veja o exemplo abaixo).
Moro em NH, EUA, então é correto que o Discourse tenha sinalizado esse login vindo da Alemanha. Sempre usei uma boa senha (15 letras, aleatória), que agora alterei. Tenho em meu poder os dois computadores que já usei para fazer login.
Algumas perguntas:
Alguma ideia de como isso pode ter acontecido?
Minha página de perfil mostrava outro login (também “da Alemanha…”) nas 24 horas anteriores à mensagem abaixo. Mas não recebi nenhuma notificação para aquele login — nem na minha caixa de entrada nem na pasta de spam. Como isso pode ter acontecido?
Parece que o invasor pode ter exportado a lista de usuários. É possível saber se ela foi baixada?
Vocês têm um roteiro ou procedimento padrão para notificar os usuários?
Que outras informações eu poderia fornecer para diagnosticar ou investigar isso?
Muito obrigado.
[Desculpe se esta não é a categoria correta. @moderadores — por favor, movam para o lugar certo. Obrigado.]
That IPv6 address is not from my range (I take from Hurricane Electric, in the 2001:470:… range)
We have evidence that the intruder attempted to add their email to an admin account, download the user list, and get the database backup. No access was granted to the new email address; we assume they retrieved the user list; but that they could not get the latter (the database) because they had not yet got email address.
So we assume emails and handles have been compromised, but that the database has not been downloaded (nginx logs).
Are there other things we should look for? Many thanks.
Yes, and each of those protections was individually added after a hard-earned lesson, so it’s especially satisfying to see them all working together in tandem!