Вчера вечером пользователи iPhone, были удивлены, увидев множество push-уведомлений от Apple News, содержащих расистские оскорбления и другие нецензурные выражения. Уведомления были инициированы учетной записью Apple News Fast Company, что побудило Apple News отключить новостной канал публикации. Как оказалось, за вульгарными push-уведомлениями стоял хакер, который ранее взломал систему управления контентом (CMS) WordPress.

Первоначальный взлом произошел в воскресенье днем и стал очевидным, когда все заголовки статей на веб-сайте издания были изменены, чтобы отображать непристойное сообщение, объявляющее о взломе и ложно приписывающее его Винни Троя. Троя - исследователь кибербезопасности, чье имя неоднократно фигурировало в троллинговых сообщениях, рассылаемых киберпреступниками. В конце прошлого года злоумышленник, известный как pompompurin, взломал веб-портал Федерального бюро расследований США (ФБР) и разослал тысячи фиктивных электронных писем, ложно идентифицирующих Трою как члена банды вымогателей. Pompompurin является владельцем и администратором Breach Forums, почти идентичного преемника RaidForums, который был закрыт правоохранительными органами США в начале этого года.

Breach Forums - это хакерский веб-сайт, который часто посещают киберпреступники, покупающие и продающие украденные данные. Поэтому неудивительно, что хакер, скомпрометировавший CMS Fast Company, создал тему на Breach Forums, объявил о взломе и предложил украденные данные. Хакер, известный под именем thrax, утверждает, что украл записи о 6737 сотрудниках из базы данных издания WordPress. Однако он сообщает, что не смог получить доступ к информации о клиентах.

Согласно второму сообщению thrax, он получил доступ к сайту WordPress Fast Company, обнаружив, что пароль по умолчанию был "pizza123" и что как минимум дюжина учетных записей все еще имеют пароль по умолчанию. Одна из этих учетных записей была учетной записью администратора, что давало хакеру права высокого уровня в CMS публикациях. Затем хакер использовал эти привилегии для доступа к конфиденциальной информации, включая токены аутентификации, ключи Apple News API, секреты Amazon SES и веб-перехватчик Slack. Один из токенов аутентификации позволяет хакеру эксфильтровать данные сотрудников, а также создать новую учетную запись администратора с доступом к двум дополнительным порталам компании.

В конце концов Fast Company узнала об этом нарушении в воскресенье вечером и вернула все названия статей на своем веб-сайте к их первоначальному виду. Однако, изданию не удалось полностью заблокировать доступ хакера к своей CMS после первоначального взлома. Только через два дня хакер использовал учетную запись Apple News для публикации оскорбительных push-уведомлений пользователям iPhone.

Fast Company отреагировала на эти push-уведомления, приостановив новостную ленту и закрыв свой веб-сайт. Некоторое время после этого посетителей сайта просто встречала ошибка 404. Однако издание обновило свой веб-сайт, чтобы разместить заявление, объясняющее ситуацию. Согласно этому заявлению, Fast Company работает с фирмой по кибербезопасности, чтобы разрешить ситуацию, и ее веб-сайт не будет восстановлен до нормального состояния, пока эта цель не будет достигнута.