Η ομάδα Joomla ανακοίνωσε παραβίαση ασφαλείας που προκλήθηκε από ένα μη κρυπτογραφημένο αντίγραφο ασφαλείας

Οι προγραμματιστές που εκτελούν το Joomla, ένα έργο ανοιχτού κώδικα και ένα από τα πιο δημοφιλή συστήματα διαχείρισης περιεχομένου στον κόσμο, ανέφεραν παραβίαση δεδομένων την περασμένη εβδομάδα. Ένα τώρα πρώην μέλος της ομάδας ανέβασε ένα αντίγραφο ασφαλείας ολόκληρης της ιστοσελίδας του Joomla Resources Directory σε έναν μη προστατευμένο κάδο Amazon Web Service (AWS) S3. Στο αντίγραφο ασφαλείας περιλαμβάνονται οι λεπτομέρειες περίπου 2.700 εγγεγραμμένων χρηστών. Η ομάδα του Joomla αποφάσισε να μην σαρώνει την παραβίαση κάτω από το χαλί και το περιστατικό περιγράφεται σε μια αρκετά λεπτομερή ειδοποίηση. Κάποιοι μπορεί να πιστεύουν ότι αυτή είναι μια περίεργη απόφαση.

Τα περισσότερα από τα εκτεθειμένα δεδομένα ήταν ούτως ή άλλως προσβάσιμα στο κοινό

Οι περισσότεροι από τους λογαριασμούς που επηρεάζονται ανήκουν σε προγραμματιστές που χρησιμοποιούν τον ιστότοπο για να διαφημίσουν τις δεξιότητες και τις υπηρεσίες τους. Οι εκτεθειμένες λεπτομέρειες περιελάμβαναν ονόματα, διευθύνσεις email, φυσικές διευθύνσεις, αριθμούς τηλεφώνου, ιστότοπους εταιρειών, προτιμήσεις συνδρομής σε ενημερωτικά δελτία, διευθύνσεις IP και κωδικούς πρόσβασης κατακερματισμού. Όλα εκτός από τους κωδικούς πρόσβασης ήταν σε απλό κείμενο και ολόκληρο το αντίγραφο ασφαλείας δεν ήταν κρυπτογραφημένο.

Αυτό δεν είναι πολύ καλό, αλλά πρέπει να πούμε ότι οι επηρεαζόμενοι χρήστες δεν έχουν τόσο πολύ να ανησυχούν. Οι περισσότερες από τις πληροφορίες ήταν πάντοτε προσβάσιμες στο κοινό, οπότε παρόλο που δεν υπάρχουν πληροφορίες σχετικά με το εάν κάποιος έχει αποκτήσει πρόσβαση στο εκτεθειμένο αντίγραφο ασφαλείας ή όχι, ο πιθανός αντίκτυπος αυτής της συγκεκριμένης παραβίασης δεδομένων είναι μάλλον χαμηλός.

Ο κακός χειρισμός αντιγράφων ασφαλείας δεν είναι καλή εμφάνιση

Παρά τη σχετικά χαμηλή σοβαρότητα της παραβίασης, η ομάδα του Joomla φαίνεται να λαμβάνει σοβαρά υπόψη το περιστατικό. Και έτσι θα έπρεπε.

Όπως επεσήμανε το ZDNet, μέχρι πρόσφατα, το Joomla ήταν το δεύτερο πιο δημοφιλές σύστημα διαχείρισης περιεχομένου στον κόσμο και παρόλο που δεν είναι πουθενά τόσο μεγάλο όσο το WordPress, ο αριθμός των ιστότοπων που βασίζονται σε αυτό βρίσκεται πάνω από 2 εκατομμύρια. Η ευθύνη για τα άτομα που εκτελούν το έργο είναι πολύ τεράστια και η διαρροή μη κρυπτογραφημένων αντιγράφων ασφαλείας δεν είναι αποδεκτή.

Ευτυχώς, η παραβίαση ακολούθησε έλεγχο ασφαλείας και η ομάδα μας διαβεβαιώνει ότι έχουν εφαρμοστεί ορισμένες αλλαγές στις πολιτικές και τις διαδικασίες. Είναι σίγουρα μια καλύτερη, καθυστερημένη από ποτέ, και ελπίζουμε ότι οι προγραμματιστές άλλων έργων αυτού του μεγέθους θα μάθουν από τα λάθη του Joomla και θα λάβουν τις απαραίτητες προφυλάξεις προτού αποκαλυφθούν δεδομένα.