Взлом/несанкционированный доступ: Новый вход из

Привет, друзья! Я администратор другой системы Discourse, и сегодня утром я проснулся с четырьмя электронными письмами, указывающими на несанкционированный вход (см. пример ниже).

Я живу в штате Нью-Гэмпшир, США, поэтому для Discourse правильно было бы отметить этот вход из Германии. Я всегда использовал надежный пароль (15 случайных символов), который я теперь сменил. У меня в распоряжении находятся два компьютера, которые я когда-либо использовал для входа в систему.

Несколько вопросов:

1. Есть ли какие-то идеи, как это могло произойти?
2. На моей странице профиля был показан другой вход (также «из Германии…») в течение 24 часов до сообщения ниже. Однако я не получил уведомления об этом входе — ни во входящих, ни в папке спама. Как это могло произойти?
3. Похоже, что злоумышленник мог экспортировать список пользователей. Можно ли узнать, был ли он когда-либо скачан?
4. Есть ли у вас стандартный план действий/процедура для уведомления пользователей?
5. Какую еще информацию я мог бы предоставить для диагностики или расследования этого инцидента?

Большое спасибо.

[Извините, если это не та категория. @moderators — пожалуйста, переместите в нужное место. Спасибо.]

У вас включена двухфакторная аутентификация? Если нет, срочно добавьте её.

У меня нет, но я активирую 2FA. Есть какие-то мысли по другим вопросам? Спасибо.

Повторное использование паролей, слабые пароли, кейлоггеры, общие сети Wi-Fi и т. д.

Логи Nginx.

Если злоумышленник мог получить доступ к резервной копии, для которой также требуется доступ к электронной почте, см. What to do if your Discourse is compromised

Если нет, то достаточно будет темы-баннера или темы в категории, где все пользователи получают уведомления.

И это было, пока вы спали? Неужели невозможно, что у вас появился новый IPv6-адрес, а у MaxMind просто была указана неверная локация?

Спасибо за сообщение.

• Да, я спал.

• Этот IPv6-адрес не входит в мой диапазон (я использую диапазон Hurricane Electric в диапазоне 2001:470:…).

• У нас есть доказательства того, что злоумышленник пытался добавить свой адрес электронной почты к учётной записи администратора, загрузить список пользователей и получить резервную копию базы данных. Доступ к новому адресу электронной почты не был предоставлен; мы предполагаем, что они получили список пользователей, но не смогли получить базу данных, так как у них ещё не было доступа к адресу электронной почты.

Таким образом, мы предполагаем, что адреса электронной почты и имена пользователей были скомпрометированы, но база данных не была загружена (журналы nginx).

Есть ли ещё что-то, на что нам стоит обратить внимание? Большое спасибо.

Отлично, что три наших механизма защиты сработали:

• Злоумышленник не смог получить доступ к резервным копиям из-за требуемого процесса подтверждения по электронной почте.

• Злоумышленник не смог получить права администратора на адрес электронной почты, которым он владеет, так как требуется подтверждение с обоих адресов.

• Предупреждающие письма при входе в систему из удаленного местоположения.

Одна вещь, которую вам следует проверить, — это то, что Discourse работает в последней версии, чтобы быть защищенным от любых известных уязвимостей.

Да, и каждое из этих защитных мер было добавлено отдельно после трудом заработанного урока, поэтому особенно приятно видеть, как они все работают вместе в гармонии!