Кража данных - повторное использование паролей

What happened?

По своей структуре фонд Root-me всегда доверял всем своим членам, и, если уж на то пошло, самые активные из них обычно имеют права администратора.
Администратор платформы, который в свое время внес большой вклад в проект и с тех пор скрылся, занимаясь своей профессиональной и семейной жизнью, стал жертвой атаки повторного использования пароля: пароль его электронной почты оказался в утечке, и, к сожалению, он был таким же, как и на платформе Root-Me. Этот взломанный аккаунт был использован для получения неправомерного доступа к бэкенду, с которого осуществляется администрирование Root-Me.

Когда это произошло?

Вторжение началось 23 мая и продолжалось до следующего дня, 24 мая 2020 года.

Каковы последствия?

Были украдены решения вызова, а также адреса электронной почты. Хеши паролей не пострадали. Другие украденные данные, такие как открытые ключи GPG или имена пользователей, уже являются открытой информацией, отображаемой в профилях.

А теперь?

Чтобы защитить наш бэкенд и, соответственно, ваши данные, мы решили установить двухфакторную аутентификацию на основе GPG для учетных записей с правами администратора.