30.09.2020

Возможная утечка базы пользователей проекта Joomla


Разработчики свободной системы управления контентом Joomla предупредили о выявлении факта размещения в стороннем хранилище полных резервных копий сайта resources.joomla.org, включающих базу данных пользователей каталога JRD (Joomla Resources Directory).

Резервные копии не были зашифрованы и включали данные о 2700 участниках, зарегистрированных на сайте resources.joomla.org, где собраны сведения о разработчиках и поставщиках, создающих сайты на базе Joomla. Помимо общедоступных персональных данных в БД содержались сведения о хэшах паролей, неопубликованных записях и IP-адресах. Всем пользователям, зарегистрированным в каталоге JRD, рекомендуется сменить пароли и проанализировать возможное дублирование паролей на других сервисах.

Резервная копия была размещена участником проекта на стороннем хранилище в Amazon Web Services S3, принадлежащем сторонней компании, основанной бывшим лидером команды администраторов JRD, остающимся на момент инцидента в числе разработчиков. Разбор инцидента пока не завершён и точно не ясно, попала ли резервная копия в третьи руки. При этом проведённый после инцидента аудит показал, что на сервере resources.joomla.org присутствовали учётные записи с правами администратора, не принадлежащие сотрудникам компании Open Source Matters, обеспечивающей сопровождение проекта Joomla (не уточняется, насколько эти люди связаны с проектом).

Источник: https://www.opennet.ru/opennews/art.shtml?num=53064

Добавить комментарий