„Joomla“ komanda paskelbė apie saugumo pažeidimą, kurį sukūrė nešifruota atsarginė kopija
Kūrėjai, valdantys atviro kodo projektą „Joomla“ ir vieną populiariausių turinio valdymo sistemų pasaulyje, praėjusią savaitę pranešė apie duomenų pažeidimą. Buvęs komandos narys viso neapsaugoto „Amazon Web Service“ (AWS) S3 segmento įkėlė visos „Joomla Resources Directory“ svetainės atsarginę kopiją. Į atsarginę kopiją buvo įtraukta informacija apie 2700 registruotų vartotojų. „Joomla“ komanda nusprendė neplauti pažeidimo po kilimu, o įvykis buvo aprašytas gana išsamiame pranešime. Kai kas gali pamanyti, kad tai keistas sprendimas.
Bet kokiu atveju didžioji dalis paviešintų duomenų buvo prieinama viešai
Didžioji dalis paveiktų paskyrų priklauso kūrėjams, kurie naudojasi svetaine savo įgūdžiams ir paslaugoms reklamuoti. Pateiktoje informacijoje buvo nurodyti vardai, el. Pašto adresai, fiziniai adresai, telefonų numeriai, įmonės svetainės, informacinio biuletenio prenumeratos nuostatos, IP adresai ir maišyti slaptažodžiai. Viskas, išskyrus slaptažodžius, buvo paprasto teksto, o visa atsarginė kopija nebuvo užšifruota.
Tai nėra labai geras dalykas, tačiau reikia pasakyti, kad paveikti vartotojai neturi tiek daug jaudintis. Bet kokiu atveju didžioji dalis informacijos buvo prieinama viešai, taigi, nors nėra informacijos apie tai, ar kas nors turėjo prieigą prie atidaromos atsarginės kopijos, šio konkretaus duomenų pažeidimo galimas poveikis yra gana mažas.
Prastas atsarginių kopijų tvarkymas nėra geras vaizdas
Nepaisant santykinai mažo pažeidimo sunkumo, atrodo, kad „Joomla“ komanda į incidentą žiūri rimtai. Ir taip jie turėtų.
Kaip pažymėjo „ ZDNet“, dar visai neseniai „Joomla“ buvo antra populiariausia turinio valdymo sistema pasaulyje ir, nors ji niekur nėra tokia didelė kaip „WordPress“, joje veikiančių svetainių skaičius siekia gerokai daugiau nei 2 milijonus. Projektą vykdančių žmonių atsakomybė yra gana didžiulė, o leisti šifruotoms atsarginėms kopijoms tokiu būdu nutekėti yra tiesiog nepriimtina.
Laimei, po pažeidimo buvo atliktas saugumo auditas, ir komanda mus patikina, kad buvo įgyvendinta keletas politikos ir procedūrų pakeitimų. Tai tikrai yra geresnė vėlyvo, nei niekada, situacija, ir mes tikimės, kad kitų tokio dydžio projektų kūrėjai pasimokys iš Joomla klaidų ir imsis reikiamų atsargumo priemonių prieš atskleidžiant bet kokius duomenis.