Ataque contra vBulletin, reinicio obligatorio de contraseñas

El servicio de creación de foros vBulletin, ha publicado un parche de seguridad de urgencia tras descubrir una intrusión en su portal que ha comprometido datos confidenciales y contraseñas de medio millón de suscriptores.

vBulletin es un servicio de creación de foros basado en PHP y MySQL muy popular en Internet por su capacidad multiplataforma, flexibilidad y sencilla administración. Según su desarrollador, vBulletin Solutions Inc, el software es utilizado en más de 100.000 sitios web, incluyendo importantes compañías como Electronic Arts, Sony, NASA o Steam.

El ataque contra vBulletin ha sido reivindicado por un sujeto denominado «ColdZer0» utilizando un ataque O-Day que todo apunta se ha utilizado también en los foros de Foxit Software.

El ataque contra vBulletin ha reavivado la preocupación por los hack de día zero de amplio alcance porque la vulnerabilidad podría permitir a un usuario malicioso realizar ataques de inyección SQL sobre la base de datos.

Todas las contraseñas han sido restablecidas y VBulletin ha publicado un parche de seguridad pero la preocupación es patente.