A Joomla csapata bejelentett egy biztonsági sértést, amelyet egy titkosítatlan mentés okozott
A nyílt forráskódú projektet és a világ egyik legnépszerűbb tartalomkezelő rendszerét működtető Joomla fejlesztői a múlt héten jelentettek adatmegsértést. A csapat egykori tagja a teljes Joomla Resources Directory webhelyről készített biztonsági másolatot egy védetlen Amazon Web Service (AWS) S3 vödörbe. A biztonsági másolat részét képezte körülbelül 2700 regisztrált felhasználó adatai. A Joomla csapata úgy döntött, hogy nem söpörte el a szabálytalanságot a szőnyeg alatt, és az eseményt meglehetősen részletes értesítésben írták le. Néhányan azt gondolhatják, hogy ez egy furcsa döntés.
A feltárt adatok többsége egyébként nyilvánosan hozzáférhető volt
Az érintett fiókok többsége fejlesztők tulajdonában van, akik a webhelyet használják készségeik és szolgáltatásaik hirdetésére. A feltárt részletek tartalmazták a neveket, az e-mail címeket, a fizikai címeket, a telefonszámokat, a vállalati webhelyeket, a hírlevél előfizetési preferenciáit, az IP címeket és a kivonatolt jelszavakat. A jelszavak kivételével minden egyszerű szövegben volt, és a teljes biztonsági másolatot nem titkosították.
Ez nem túl jó dolog, de el kell mondani, hogy az érintett felhasználóknak nincs annyira aggódniuk. Az információ többsége egyébként nyilvánosan hozzáférhető volt, így bár nincs információ arról, hogy valaki hozzáférött-e a feltárt biztonsági mentéshez, az adott adat megsértésének potenciális hatása meglehetősen csekély.
A rossz tartalékkezelés nem jó megjelenés
A megsértés viszonylag alacsony súlyossága ellenére a Joomla csapata úgy tűnik, hogy komolyan veszi az eseményt. És így kellene.
Amint a ZDNet rámutatott, egészen a közelmúltig a Joomla volt a második legnépszerűbb tartalomkezelő rendszer a világon, és bár ez még senki sem olyan nagy, mint a WordPress, az azon alapuló webhelyek száma jóval meghaladja a 2 milliót. A projekt irányítóinak felelőssége nagyon óriási, és a titkosítatlan biztonsági másolatok ilyen jellegű kiszivárogtatása egyszerűen nem elfogadható.
Szerencsére a szabálysértést biztonsági ellenőrzés követte, és a csapat biztosítja nekünk, hogy a házirendek és eljárások számos változtatást végrehajtottak. Ez határozottan jobb, mint később, mint soha, és reméljük, hogy más ilyen méretű projektek fejlesztői megtanulják Joomla hibáit, és megteszik a szükséges óvintézkedéseket, mielőtt bármilyen adatot felfedeznének.