this post was submitted on 10 Jul 2023

20 points (100.0% liked)

Feddit.dk

940 readers

12 users here now

Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.

Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.

founded 1 year ago

MODERATORS

[email protected]

OBS: Visse Lemmy-instanser blev hacket i nat (feddit.dk)

submitted 1 year ago* (last edited 1 year ago) by [email protected] to c/[email protected]

28 comments fedilink hide all child comments

Jeg har på nuværende tidspunkt ingen grund til at tro at Feddit.dk er påvirket, men det er muligt at indhold fra andre instanser er påvirket. Det havde blandt andet noget at gøre med custom emojier, hvilket Feddit.dk endnu ikke bruger.

Jeg har pga. generel forsigtighed roteret den hemmelige nøgle Feddit.dk bruger. Det betyder at i bliver logget ud og skal logge ind igen. Muligvis skal i også slette alle cookies fra Feddit.dk i jeres browser. I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke "Clear cookies and site data".

Se evt. mere information her.

Vær ikke overrasket hvis Feddit.dk går ned i noget tid i løbet af dagen, hvis jeg skal opdatere til en nyere version der forhindrer denne sikkerhedsfejl.

Tak til @leds for at gøre mig opmærksom på situationen.

top 26 comments

sorted by: hot top controversial new old

[–] [email protected] 7 points 1 year ago (2 children)

Tak for info. Så forstår jeg bedre at jeg ikke kunne logge på igen.

Og husk nu den gamle lærdom om ikke at bruge samme password mere end et sted. Brug i stedet en passwordmanager.

[–] [email protected] 2 points 1 year ago

Godt råd. Som resultat af det her hackerangreb har jeg lige brugt et par eftermiddage på at få flyttet alle mine konti over i en password manager, og det er altså en lettelse endelig at få det gjort. Det var virkelig en øjenåbner, hvor mange konti jeg egentlig havde, og hvor let det sikkert havde været at kompromitere mange af dem.

[–] [email protected] 1 points 1 year ago (2 children)

Jeg har brug for gode råd til at overtale venner og familie. Jeg har venner der stædigt benægter password manager, da de påstår at de er gode nok til at bruge forskellige kode.

Kan tydeligt huske hvor svær jeg selv var at overtale, og er ikke selv sikker på hvad der fik mig overtalt. Det viste sig så at jeg i ekstra høj grad trængte til det. Jeg har pr. d.d. 384 gemte logins tilbage i firefox, som er dem jeg ikke har migreret til min password manager. Bevares, en del af dem er nok lokale kontrolpaner, men en god sjat er tjenester som er lukket ned eller jeg ikke bruger længere.

Jeg har en ven, der ligeledes har været svær at overtale til at bruge Git i sin kodeprojekter, da han jo havde clipboard.

[–] [email protected] 3 points 1 year ago (1 children)

Som man siger, You can lead a horse to water, but you can't make it drink.

[–] [email protected] 6 points 1 year ago (1 children)

Eller som på dansk, du kan lede hesten til truget men du kan ikke tvinge den til at drikke :)

[–] [email protected] 4 points 1 year ago

De danske udtryk klinger bare bedre

[–] [email protected] 3 points 1 year ago (1 children)

Nogen, der kan forklare nærmere, hvilke konsekvenser dette kan have for de ramte instanser? I bedste/værste tilfælde?

[–] [email protected] 3 points 1 year ago (1 children)

I bedste tilfælde kommer der en opdatering hurtigt der fikser det og alle ramte instanser opdaterer og fjerner det indhold der blev lavet af hackerne. Og alle brugere skal logge ind igen og så sker der ikke mere ved det.

Værste tilfælde... altså det kan jo i værste fald gå meget galt. Hvis en admin bliver hacket kan de slette al data. Forhåbentlig vil der være backups dog, men hvis man snakker om værste tilfælde så er de jo også væk. Men det virker overordentlig usandsynligt.

[–] [email protected] 2 points 1 year ago

Det var også primært ifht. hackede admin accounts, jeg ikke var helt sikker på, hvor meget rod de egentlig kunne lave på instansen. Men du har ret i, at de selvfølgelig bare kan 'nuke' det hele - og så afhænger det jo alene af, hvor god man har været til backups.

Tak for uddybning.

[–] [email protected] 2 points 1 year ago (2 children)

Jeg kan umiddelbart ikke logge ind igen i browseren, samme problem på lemmy.world

Jeg kunne logge ud og ind igen på Connect, og det er jo nok det vigtigste.

[–] [email protected] 3 points 1 year ago* (last edited 1 year ago) (1 children)

Prøv at slette dine cookies/sidedata, jeg havde samme problem på min telefon.

I Firefox (både desktop og Android) skal i klikke på hængelås-ikonet og så trykke “Clear cookies and site data”.

[–] [email protected] 3 points 1 year ago

Virker - tak!

[–] [email protected] 1 points 1 year ago

Jeg havde også nogle problemer fra Android app'en Jerboa (stod som Anonymous, kunne ikke kommentere..)

Det hjalp for mig at trykke 'Sign out' indtil knappen ikke længere blev vist og derefter logge ind igen. Dette tog 3-4 tryk for mig, selvom jeg kun var logget ind på to instanser 🙃

[–] [email protected] 1 points 1 year ago (1 children)

Lite mer detaljerad förklaring: Det här har inte med custom emojier att göra. När du skriver en kommentar kan du ~~göra~~ formatteringstricks med Markdown, men Markdown-parseren som Lemmy använder konverterar inte innehållet till plaintext när den lagras i databasen, vilket gör det möjligt att gömma körbara skript i en kommentar.

Hackaren länkade bilder i kommentarerna vars alternativtext innehåller skriptet som stjäl autentiseringsnyckeln av användare som laddar kommentaren. Med den metoden fick hackaren tillgång till en av adminernas konton och la till bilden med skriptet i lemmy.world:s sidebar, så alla inloggade användare skulle få sin nyckel stulen (eftersom sidebaren laddas på varje sida).

Admin kan lägga till script-src 'self' 'nonce-$RANDOM' till instansens Content Security Policy på proxyservern för att blockera körbara skript på sidan.

[–] [email protected] 2 points 1 year ago (2 children)

Så vidt jeg forstår har det noget med custom emojier at gøre, fordi de bruger en specialiseret markdown-rendering, som desværre har denne sikkerhedsbrist. Normalt markdown rendering skulle være okay.

[+] [email protected] 1 points 1 year ago (1 children)

[removed by mod]

[–] [email protected] 2 points 1 year ago (1 children)

Ja, men det er så vidt jeg forstår kun custom emojis der bruger den markdown-renderer og det er kun hvis det er lokale custom emojis - custom emojis fra andre instanser skulle ikke være et problem, så vidt jeg kan se.

Beklager, men jeg sletter altså lige din kommentar da jeg ikke vil have instruktioner eller linket til den side stående.

[–] [email protected] 1 points 1 year ago (1 children)

Ingen fara, jag postade bilden eftersom skriptet är dolt (det visas bara de första få tecken men jag kan förstå hur andra skulle kunna klura ut tricket här då det finns andra bilder med hela skriptet inuti). Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy. Alla fält som visar text på 0.18-instanser och senare är sårbara för attacken om det inte införs en Content Security Policy som blockerar körbara skript.

[–] [email protected] 2 points 1 year ago (1 children)

Det är samma Markdown-renderen med stöd för custom emojier som används i alla textfält på Lemmy.

Jo, men igen, den bruges aldrig på Feddit.dk siden vi ikke har nogen custom emojis endnu :). Så den sårbare kode røres aldrig. Det er hvad jeg selv forstår og hvad andre admins jeg snakker med har fortalt mig.

[–] [email protected] 1 points 1 year ago (1 children)

Utvecklaren själv tvivlar på att det ska vara endast emojis. Skärmavbilden nedan visar att det inte är en emoji utan en inbäddad bild.

Och finns det något hemligt nätverk av Lemmy-admins? På Matrix?

[–] [email protected] 3 points 1 year ago (1 children)

Ja matrix og nej det er ikke hemmeligt på nogen måde https://join-lemmy.org/contact

[–] [email protected] 1 points 1 year ago

Någon testade det och du har rätt, exploiten nyttjar custom emojis för att köra skriptet men det är oklart om emojin måste vara instansens egen för att skriptet ska fungera.

Det som får mig att tro att federerade instanser också är sårbara är att lemmy.blahaj.zone också blev attackerad trots att hackarens mål är lemmy.world. Det kan vara att en lemmy.blahaj.zone admin läste en tråd på lemmy.world och fick sitt konto stulet.

[–] [email protected] 0 points 1 year ago (1 children)

Nogen der kender til et bug bounty program på Lemmy?

[–] [email protected] 3 points 1 year ago* (last edited 1 year ago) (1 children)

Ikke noget jeg kender til. Spørgsmålet er vel også om den skulle betales af udviklerne eller enkelte instanser. Men måske udviklerne giver bedst mening. Men altså. Det er jo ikke for-profit. Hvis man finder en fejl synes jeg da bare man bør rette den.

[–] [email protected] 1 points 1 year ago

helt enig, men de har et budget, hvor det kunne give mening. Desværre er det jo sådan at ikke alle er lige godhjertede, og talentet nogle gange findes hos det modsatte team. Ville helt klart mene det ville lægge hos udviklerne, med mindre sikkerhedsfejlen er instans-specifik

load more comments