Šef Kiwi Farms, internet foruma najpoznatijeg po organizovanju kampanja uznemiravanja trans i nebinarnih ljudi, rekao je da je sajt doživeo proboj koji je hakerima omogućio pristup njegovom administratorskom nalogu, a možda i nalozima svih drugih korisnika.
Mun je rekao da su nepoznati pojedinac ili pojedinci koji stoje iza hakovanja dobili pristup njegovom administratorskom nalogu koristeći tehniku poznatu kao otmica sesije, u kojoj napadač dobija kolačiće za autentifikaciju koje sajt postavlja nakon što vlasnik naloga unese važeće akreditive i uspešno završi bilo koje dve- zahtevi faktorske autentifikacije. Otmica sesije je omogućena nakon otpremanja zlonamernog sadržaja na KsenForo, sajt koji Kiwi Farms koristi za napajanje svojih korisničkih foruma.
„Napadač je mogao da otpremi veb stranicu prerušenu u audio datoteku na KsenForo“, napisao je Mun. „Na drugim mestima, uspeo je da učita ovu veb stranicu (verovatno kao inline-frame), što je navelo nasumične korisnike da postavljaju automatizovane zahteve i šalju svoje kolačiće za autentifikaciju van sajta, tako da je napadač mogao da je koristi za pristup svom nalogu. Moj administratorski nalog je kompromitovan ovim mehanizmom.”
Napadač je zatim iskoristio pristup Munovom administratorskom nalogu da izda komandu za KsenForo da pošalje adresu e-pošte, korisničko ime, poslednju aktivnost i druge detalje svakog korisnika. Mun je rekao da sistemski dnevniki ukazuju na to da komanda nije uspela pre nego što su poslati podaci, ali da ne može da isključi mogućnost da je napadač pokrenuo druge komande ili skripte koje su možda uspele.
Datoteka otpremljena u KsenForo završava se sa .opus, ekstenzijom koju koriste određeni audio formati. Učitano je direktno na KsenForo i ubrizgano pomoću prilagođenog programa za ćaskanje zasnovano na Rust-u koji je Mun napisao da bi četovi Kiwi Farms komunicirali sa sesijama iz KsenForo-a.
Skripta je prouzrokovala da ciljevi učitaju /test-chat, što je bila aplikacija za ćaskanje koju je Mun koristio za sajt. Ciljevi su takođe učitali /help/, dokumentaciju za pomoć KsenForo-a, /avatar/avatar, za promenu avatara u logo drugog sajta, i admin.php?tools/phpinfo, u slučaju da je cilj bio administrator.
Iako se činilo da komanda za preuzimanje podataka svih korisnika nije uspela, napadač je uspeo da učita datoteku, najverovatnije kao iframe, što je dovelo do toga da određeni korisnici pošalju napadaču svoje kolačiće za autentifikaciju Kiwi Farms. To je dovelo do toga da je Munov administratorski nalog kompromitovan.
Kompromis je došao nakon što je mreža za isporuku sadržaja Cloudflare prošle nedelje prestala da služi Kiwi Farms nakon nedelja oštrog ukora kritičara koji su rekli da Cloudflare omogućava masovno uznemiravanje i aktivnosti dokksanja koje su ciljale na trans i nebinarne pojedince. Cloudflare je obezbedio zaštitu od distribuiranih napada uskraćivanja usluge koji su godinama ciljali Kiwi Farme. Cloudflare je bio poslednji vrhunski provajder koji je nastavio da služi sajtu. Kada je prekinuo veze, Kiwi Farms je bio primoran da se povuče na mnogo manje sposobne usluge.
