„Joomla“ komanda paskelbė apie saugumo pažeidimą, kurį sukūrė nešifruota atsarginė kopija

Joomla Data Breach

Kūrėjai, valdantys atviro kodo projektą „Joomla“ ir vieną populiariausių turinio valdymo sistemų pasaulyje, praėjusią savaitę pranešė apie duomenų pažeidimą. Buvęs komandos narys viso neapsaugoto „Amazon Web Service“ (AWS) S3 segmento įkėlė visos „Joomla Resources Directory“ svetainės atsarginę kopiją. Į atsarginę kopiją buvo įtraukta informacija apie 2700 registruotų vartotojų. „Joomla“ komanda nusprendė neplauti pažeidimo po kilimu, o įvykis buvo aprašytas gana išsamiame pranešime. Kai kas gali pamanyti, kad tai keistas sprendimas.

Bet kokiu atveju didžioji dalis paviešintų duomenų buvo prieinama viešai

Didžioji dalis paveiktų paskyrų priklauso kūrėjams, kurie naudojasi svetaine savo įgūdžiams ir paslaugoms reklamuoti. Pateiktoje informacijoje buvo nurodyti vardai, el. Pašto adresai, fiziniai adresai, telefonų numeriai, įmonės svetainės, informacinio biuletenio prenumeratos nuostatos, IP adresai ir maišyti slaptažodžiai. Viskas, išskyrus slaptažodžius, buvo paprasto teksto, o visa atsarginė kopija nebuvo užšifruota.

Tai nėra labai geras dalykas, tačiau reikia pasakyti, kad paveikti vartotojai neturi tiek daug jaudintis. Bet kokiu atveju didžioji dalis informacijos buvo prieinama viešai, taigi, nors nėra informacijos apie tai, ar kas nors turėjo prieigą prie atidaromos atsarginės kopijos, šio konkretaus duomenų pažeidimo galimas poveikis yra gana mažas.

Prastas atsarginių kopijų tvarkymas nėra geras vaizdas

Nepaisant santykinai mažo pažeidimo sunkumo, atrodo, kad „Joomla“ komanda į incidentą žiūri rimtai. Ir taip jie turėtų.

Kaip pažymėjo „ ZDNet“, dar visai neseniai „Joomla“ buvo antra populiariausia turinio valdymo sistema pasaulyje ir, nors ji niekur nėra tokia didelė kaip „WordPress“, joje veikiančių svetainių skaičius siekia gerokai daugiau nei 2 milijonus. Projektą vykdančių žmonių atsakomybė yra gana didžiulė, o leisti šifruotoms atsarginėms kopijoms tokiu būdu nutekėti yra tiesiog nepriimtina.

Laimei, po pažeidimo buvo atliktas saugumo auditas, ir komanda mus patikina, kad buvo įgyvendinta keletas politikos ir procedūrų pakeitimų. Tai tikrai yra geresnė vėlyvo, nei niekada, situacija, ir mes tikimės, kad kitų tokio dydžio projektų kūrėjai pasimokys iš Joomla klaidų ir imsis reikiamų atsargumo priemonių prieš atskleidžiant bet kokius duomenis.

June 1, 2020
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.