موقع phpBB.com يتعرض لاختراق خطير يوقفه عن العمل
أصبح موقع الويب الخاص بأحد أشهر برامج المستخدمة في إدارة المنتديات وقوائم الرسائل الإخبارية على الإنترنت غير متصل بالإنترنت إثر اختراق أمني منح أحد الهاكرز صلاحية
وصول كاملة إلى قاعدة البيانات التي تحتوي على الأسماء وعناوين البريد الإلكتروني والعناوين وكلمات المرور لقاعدة المستخدمين بأكملها.
ففي رسالة نشرت يوم الأحد الماضي، أقر المسئولون عن موقع phpBB.com بوصول أحد الهاكرز من خلال ثغرة أمنية في تطبيق البريد الإلكتروني PHPlist. مما منح الهاكر صلاحية الوصول لأكثر من أسبوعين قبل اكتشاف الاختراق. وبقي موقع phpBB متعطلاً في وقت هذا الإعلان ولأكثر من ثلاثة أيام بعدها. هذا ولم يستجب المسئولون لأي رسائل بريد إلكتروني تطلب تعليقًا.
إلا أن أحد المدونين الذين ادعى أنه وراء هذا الاختراق قال أنه حصل على تفاصيل أكثر من 400 ألف حساب. كما ادعى أنه أنشأ برنامجًا تمكن من معرفة أكثر من 28 ألف كلمة مرور. إلا أنه لم ينشر كلمات المرور هذه حتى الآن.
ومن جانبه، نشر الموقع إشعارًا على منتدى الدعم المؤقت يفيد أن أحدث إصدارات phpBB يستخدم لوغاريتم معقدًا لمنع أي شخص من معرفة كلمة المرور.
وأن الإصدار الأقدم يوفر حماية أقل. لذلك تعين على المستخدمين التسجيل أو تسجيل الدخول في الحسابات الخاصة بهم بعد أن تم التحديث حتى تتم حمايتهم بواسطة اللوغاريتم الجديد.
ويشير عدد المستخدمين القلقين من الاختراق في موضوع phpBB http://area51.phpbb.com/phpBB/viewtopic.php?f=3&t=29974 إلى الحقيقة المؤسفة أن العديد من الأشخاص ما زالوا يستخدمون نفس كلمة المرور للعديد من حساباتهم على الإنترنت. وهو ما اعتبره المسئولون عن phpBB إجراءً غير آمن. لكنهم أيضًا أقروا بالخطأ الذي صدر من جانبهم.
جدير بالذكر أن phpBB هو برنامج مفتوح المصدر يستخدمه المسئولون عن المواقع لإدارة منتديات الحوار على المواقع الخاصة بهم. وهو يعتمد على لغة PHP وهو اختصار PHP bulletin board (لوحة أخبار PHP). والاختراق لم يكن متعلقًا ببرنامج phpBB، وليس هناك ثغرات معروفة في أحدث إصدارات البرنامج.
ولكن، تم الاختراق من خلال ثغرة أمنية تم إصلاحها مؤخرًا في PHPlist، وهو برنامج مفتوح المصدر لإدارة الرسائل الإخبارية. يذكر أنه في 29 يناير، تم تحديث البرنامج لإصلاح الثغرة الأمنية التي تسمح بصلاحية وصول غير مرخص لها.
وطبقًا لما أعلنه المسئولون عن الموقع والهاكرز، تم هذا الاختراق قبل أسبوعين من إصدار ملف PHPlist الإصلاحي. ومن المؤسف أنه كان من الممكن الحيلولة دون وقوع هذا الاختراق من خلال إضافة سطر واحد إلى ملف فهرس المسئول.
ويعتبر هذا الاختراق ردًا على محبي المصدر المفتوح الذين يدعون أن برامج المصدر المفتوح بمنأى عن مثل هذه المشكلات.