Il team di Joomla ha annunciato una violazione della sicurezza causata da un backup non crittografato
Gli sviluppatori che eseguono Joomla, un progetto open source e uno dei sistemi di gestione dei contenuti più famosi al mondo, hanno segnalato una violazione dei dati la scorsa settimana. Un ex membro del team ha caricato un backup dell'intero sito Web Directory risorse Joomla su un bucket S3 Amazon Web Service (AWS) non protetto. Nel backup sono stati inclusi i dettagli di circa 2.700 utenti registrati. Il team di Joomla ha deciso di non spazzare la breccia sotto il tappeto e l'incidente è stato descritto in una notifica piuttosto dettagliata. Alcuni potrebbero pensare che questa sia una decisione strana.
La maggior parte dei dati esposti era comunque accessibile al pubblico
La maggior parte degli account interessati sono di proprietà di sviluppatori che utilizzano il sito Web per pubblicizzare le proprie competenze e servizi. I dettagli esposti includevano nomi, indirizzi e-mail, indirizzi fisici, numeri di telefono, siti Web aziendali, preferenze di iscrizione alla newsletter, indirizzi IP e password con hash. Tutto tranne le password era in chiaro e l'intero backup non era crittografato.
Questa non è una buona cosa, ma bisogna dire che gli utenti interessati non hanno molto di cui preoccuparsi. La maggior parte delle informazioni era comunque accessibile al pubblico, quindi anche se non ci sono informazioni sull'accesso o meno al backup esposto, l'impatto potenziale di questa particolare violazione dei dati è piuttosto basso.
La scarsa gestione del backup non è una buona idea
Nonostante la gravità relativamente bassa della violazione, il team di Joomla sembra prendere sul serio l'incidente. E così dovrebbero.
Come sottolineato da ZDNet, fino a poco tempo fa, Joomla era il secondo sistema di gestione dei contenuti più popolare al mondo, e sebbene non sia in alcun modo grande come WordPress, il numero di siti Web basati su di esso ammonta a oltre 2 milioni. La responsabilità per le persone che gestiscono il progetto è piuttosto grande, e permettere che backup non crittografati perdano in quel modo è semplicemente inaccettabile.
Fortunatamente, la violazione è stata seguita da un audit di sicurezza e il team ci assicura che sono state implementate una serie di modifiche alle politiche e alle procedure. È sicuramente una situazione meglio tardi che mai, e speriamo che gli sviluppatori di altri progetti di queste dimensioni impareranno dagli errori di Joomla e prenderanno le precauzioni necessarie prima che qualsiasi dato venga esposto.