Команда Joomla раскрыла возможную утечку пользовательских баз проекта

1 июня 2020 года

Группа разработчиков систем управления контентом с открытым исходным кодом Joomla раскрыла нарушение работы с пользовательскими данными внутри проекта, которое может грозить утечками. Проект сообщает, что один из членов команды оставил незашифрованную резервную копию портала Joomla Resources Directory (JRD, resources.joomla.org) в бакете Amazon Web Services S3, принадлежащем его собственной компании.

Thousands of records have been exposed in the #Joomla security breach!

Read: https://t.co/GRNboOBP6T #CyberSecurity #Privacy #Breach #CMS #AWS

— Anonymous🐾🎗️ 🏴 (@YourAnonRiots) June 1, 2020

Незашифрованные копии включали данные о 2700 участниках, зарегистрированных и создавших профили на RJD, который представляет собой портал, где разработчики сайтов на базе Joomla предлагают свои услуги.

В список данных, оказавшихся на постороннем сервере, входят: полные имена пользователей, юридические адреса, рабочие номера телефонов и электронные адреса, URL-адреса корпоративных сайтов, сведения о характере деятельности, хэши паролей, IP-адреса и предпочтения в новостных рассылках.

Поскольку большая часть вышеперечисленной информации уже и так находилась в открытом доступе, ущерб от утечки расценивается как незначительный. Тем не менее, такие данные, как хэши паролей и IP-адреса, не предназначены для посторонних глаз.

Злоумышленники могут взломать пароли и, если они используются и на других сайтах, скомпрометировать аккаунты пользователей с помощью подстановки учетных данных (так называемой атаки credential stuffing). В связи с этим, пользователям JRD рекомендуется сменить пароли как на портале, так и на других сайтах, где они используются.

Согласно сообщению команды Joomla, сразу после того, как стало известно об утечке, был проведен полный аудит безопасности портала JRD. «В ходе аудита также обнаружились учетные записи Super User, принадлежащие лицам за пределами Open Source Matters», – сообщили разработчики Joomla.

В настоящее время проводится расследование инцидента. Получил ли кто-то посторонний доступ к файлу с резервной копией сайта JRD, на данный момент неизвестно....

Источники

править
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.