De afgelopen weken zijn meerdere webfora gehackt die op vBulletin draaide en waarbij de gegevens van miljoenen internetgebruikers werden buitgemaakt. Het probleem is echter niet de vBulletin-forumsoftware zelf, maar beheerders die de forumsoftware zelf hosten en niet updaten.
Dat stelt de Australische beveiligingsonderzoeker Troy Hunt. Onder de getroffen fora bevinden zich GTAGaming, Epic Games, Dota 2, Disney en Ubuntu Forums. Bij elkaar opgeteld zijn alleen al bij deze hacks de gegevens van zo'n 5,3 miljoen gebruikers buitgemaakt. "Er is een probleem met websites die vBulletin hosten en worden gehackt, maar ik zeg niet dat het gehele probleem vBulletin is", aldus Hunt.
In het geval van GTAGaming, een fansite rondom het gelijknamige computerspel, draaide het forum op vBulletin 3.8.7. VBulletin versie 3 verscheen in maart 2004, terwijl versie 3.8.7 op 28 februari 2011 uitkwam. Ruim drie jaar later verscheen versie 3.8.8, gevolgd door versie 3.8.9 op 17 juni 2015. Het forum van GTGaming liep 4,5 jaar achter met patches voor hun versie. "En dat is het echte verhaal met vBulletin, installaties die worden verwaarloosd", merkt Hunt op.
In het geval vBulletin-fora worden gehackt is het meestal niet via een zero day-kwetsbaarheid, maar via een bekend beveiligingslek dat al geruime tijd is gedicht, maar waarvan de patch niet is geïnstalleerd. Het beheren van een eigen forum houdt ook in het snel uitrollen van beveiligingsupdates, gaat Hunt verder. Beheerders zijn daarnaast verantwoordelijk voor de gegevens van de mensen die zich op het forum registreren. Volgens de onderzoeker is het dan ook verstandiger dat mensen die hun eigen installatie van vBulletin beheren dit uitbesteden.
Deze posting is gelocked. Reageren is niet meer mogelijk.