Os usuários do popular portal ilegal de mangá, MangaDex, ficaram surpresos quando, em vez de sua interface inicial habitual, viram uma extensa postagem em formato simples com uma declaração da equipe por trás do site. “Devido a um recente incidente de hacking, a MangaDex ficará inativa até novo aviso“, intitula a declaração.
“Em vez de manter um site provavelmente vulnerável e desperdiçar nosso tempo e esforços brincando de gato e rato com constantes ataques DDoS a hacks, decidimos aproveitar esta oportunidade para refocar e acelerar nossa reescrita planejada do site, chamada v5. No entanto, ao contrário de nossos planos originais, lançaremos esta versão assim que os recursos essenciais mínimos estiverem prontos.
Como desenvolver e manter o MangaDex não é trabalho real de ninguém, é difícil fazer uma estimativa precisa de quando estaremos funcionando novamente. Nem é preciso dizer que todos queremos que aconteça o mais rápido possível. Dito isso, se tudo correr tão bem quanto ousamos esperar, poderemos ter um tempo de inatividade de apenas uma ou duas semanas. Ou três.
O comunicado segue explicando a situação pela qual eles vêm passando nestes dias:
“Há três dias (2021-03-17), identificamos corretamente e relatamos que um homem mal-intencionado conseguiu obter acesso a uma conta de administrador reutilizando um token de sessão encontrado em um vazamento de banco de dados antigo por meio de configurações de gerenciamento de sessão defeituosas. Depois desse evento, passamos a identificar a seção vulnerável do código e trabalhamos para corrigi-la, também limpando os dados da sessão globalmente para impedir novas tentativas de exploração usando o mesmo método. Após a violação, começamos a gastar muitas horas revisando o código em busca de possíveis vulnerabilidades adicionais e começamos a corrigir o que podíamos encontrar da melhor maneira possível. Isso ocorreu em paralelo com a abertura do site após a violação, já que havíamos presumido incorretamente que o invasor não conseguiria obter mais acesso. Porém, como medida de precaução, começamos a implementar o monitoramento de nossa infraestrutura e ficamos vigilantes caso o invasor voltasse.
Em 2021-03-20 01:52:48, o invasor conseguiu acessar a conta de um de nossos desenvolvedores que estava offline por quatro dias. No entanto, desta vez percebemos isso imediatamente e fechamos o site às 01:53:40 para investigar mais. Em 2021-03-20 02:10, o invasor enviou um e-mail para os primeiros dez usuários com o corpo da mensagem, “MangaDex tem um vazamento de banco de dados. Eu sugiro que você diga a sua equipe, ”abandonando qualquer pretensão de extorsão. Seguindo em frente, embora não tenhamos evidências claras de que ocorreu uma violação do banco de dados, para as melhores práticas de segurança, presumiremos que sim. Em 2021-03-20 03:41, o invasor atualizou o repositório Git contendo o vazamento do código-fonte, informando que corrigimos com sucesso dois dos três CVEs possíveis (Vulnerabilidades e Exposições Comuns). Sem nenhuma forma de confirmar as reivindicações, presumimos o pior cenário possível e mantivemos o site inativo para investigar mais ”
deste site. Se achar algo que viole os termos de uso, denuncie.