Das Joomla-Team kündigte eine Sicherheitsverletzung an, die durch ein unverschlüsseltes Backup verursacht wurde

Die Entwickler von Joomla, einem Open-Source-Projekt und einem der beliebtesten Content-Management-Systeme der Welt, haben letzte Woche einen Datenverstoß gemeldet. Ein jetzt ehemaliges Mitglied des Teams hat eine Sicherungskopie der gesamten Joomla Resources Directory-Website in einen ungeschützten S3-Bucket von Amazon Web Service (AWS) hochgeladen. In der Sicherung waren die Details von ungefähr 2.700 registrierten Benutzern enthalten. Das Joomla-Team beschloss, die Verletzung nicht unter den Teppich zu kehren, und der Vorfall wurde in einer ziemlich detaillierten Benachrichtigung beschrieben. Einige mögen denken, dass dies eine seltsame Entscheidung ist.

Die meisten exponierten Daten waren sowieso öffentlich zugänglich

Die meisten betroffenen Konten gehören Entwicklern, die die Website nutzen, um für ihre Fähigkeiten und Dienste zu werben. Zu den offengelegten Details gehörten Namen, E-Mail-Adressen, physische Adressen, Telefonnummern, Unternehmenswebsites, Newsletter-Abonnementeinstellungen, IP-Adressen und Hash-Passwörter. Alles außer den Passwörtern war im Klartext und die gesamte Sicherung wurde nicht verschlüsselt.

Dies ist keine sehr gute Sache, aber es muss gesagt werden, dass die betroffenen Benutzer nicht so viel zu befürchten haben. Die meisten Informationen waren ohnehin öffentlich zugänglich. Obwohl keine Informationen darüber vorliegen, ob jemand auf das exponierte Backup zugegriffen hat oder nicht, sind die potenziellen Auswirkungen dieser speziellen Datenverletzung eher gering.

Das schlechte Backup-Handling sieht nicht gut aus

Trotz der relativ geringen Schwere des Verstoßes scheint das Joomla-Team den Vorfall ernst zu nehmen. Und so sollten sie.

Wie ZDNet betonte, war Joomla bis vor kurzem das zweitbeliebteste Content-Management-System der Welt, und obwohl es bei weitem nicht so groß wie WordPress ist, liegt die Anzahl der darauf basierenden Websites bei weit über 2 Millionen. Die Verantwortung für die Leute, die das Projekt ausführen, ist ziemlich groß, und es ist einfach nicht akzeptabel, dass unverschlüsselte Backups so auslaufen.

Glücklicherweise folgte auf den Verstoß ein Sicherheitsaudit, und das Team versichert uns, dass eine Reihe von Änderungen an den Richtlinien und Verfahren implementiert wurden. Es ist definitiv eine Situation, die besser spät als nie ist, und wir hoffen, dass die Entwickler anderer Projekte dieser Größe aus Joomlas Fehlern lernen und die erforderlichen Vorsichtsmaßnahmen treffen, bevor Daten verfügbar gemacht werden.