Joomlaチームは、暗号化されていないバックアップが原因のセキュリティ違反を発表しました
オープンソースプロジェクトであり、世界で最も人気のあるコンテンツ管理システムの1つであるJoomlaを実行している開発者は、先週データ侵害を報告しました。チームの元メンバーが、Joomla Resources Directory Webサイト全体のバックアップを保護されていないAmazon Web Service(AWS)S3バケットにアップロードしました。バックアップには、約2,700人の登録ユーザーの詳細が含まれていました。 Joomlaチームは、カーペットの下で違反を一掃しないことを決定し、事件はかなり詳細な通知で説明されました。これは奇妙な決定だと考える人もいるでしょう。
公開されたデータのほとんどはとにかく公にアクセス可能でした
影響を受けるアカウントのほとんどは、Webサイトを使用してスキルとサービスを宣伝する開発者が所有しています。公開された詳細には、名前、電子メールアドレス、物理アドレス、電話番号、会社のWebサイト、ニュースレターの購読設定、IPアドレス、ハッシュされたパスワードが含まれていました。パスワード以外はすべてプレーンテキストで、バックアップ全体は暗号化されていませんでした。
これはあまり良いことではありませんが、影響を受けるユーザーはそれほど心配する必要がないと言わざるを得ません。いずれにせよ、ほとんどの情報は公開されていたため、公開されたバックアップに誰かがアクセスしたかどうかについての情報はありませんが、この特定のデータ侵害の潜在的な影響はかなり低いものです。
不十分なバックアップ処理は見栄えが良くありません
侵害の重大度は比較的低いにもかかわらず、Joomlaチームは事件を深刻に受け止めているようです。そしてそうすべきです。
ZDNetが指摘したように、ごく最近まで、Joomlaは世界で2番目に人気のあるコンテンツ管理システムであり、それはWordPressほどの規模ではありませんが、それに基づくWebサイトの数は200万をはるかに超えています。プロジェクトを実行する人々の責任は非常に大きく、暗号化されていないバックアップがそのように漏洩することを許可することは、まったく受け入れられません。
幸い、違反の後にセキュリティ監査が行われ、チームはポリシーと手順にいくつかの変更が実装されたことを確認します。これは間違いなく最新の状況であり、このサイズの他のプロジェクトの開発者がJoomlaの過ちから学び、データが公開される前に必要な予防措置を講じることを期待しています。