Команда Joomla объявила о нарушении безопасности, вызванном незашифрованной резервной копией
Разработчики, работающие с Joomla, проектом с открытым исходным кодом и одной из самых популярных систем управления контентом в мире, сообщили о нарушении данных на прошлой неделе. Бывший член команды загрузил резервную копию всего сайта Joomla Resources Directory в незащищенную корзину S3 Amazon Web Service (AWS). В резервную копию были включены данные около 2700 зарегистрированных пользователей. Команда Joomla решила не срывать нарушение под ковер, и инцидент был описан в довольно подробном уведомлении. Некоторые могут подумать, что это странное решение.
Большая часть открытых данных в любом случае была общедоступной
Большинство затронутых учетных записей принадлежат разработчикам, которые используют веб-сайт для рекламы своих навыков и услуг. Представленные данные включали имена, адреса электронной почты, физические адреса, номера телефонов, веб-сайты компании, настройки подписки на рассылку, IP-адреса и хешированные пароли. Все, кроме паролей, было в открытом тексте, и вся резервная копия не была зашифрована.
Это не очень хорошая вещь, но нужно сказать, что затронутым пользователям не о чем беспокоиться. В любом случае большая часть информации была общедоступной, поэтому, хотя нет информации о том, получил ли кто-либо доступ к незащищенной резервной копии, потенциальное влияние этого конкретного нарушения данных довольно низкое.
Плохая обработка резервных копий не очень хорошо выглядит
Несмотря на относительно низкую степень серьезности нарушения, команда Joomla, похоже, серьезно относится к инциденту. И так они должны.
Как указала ZDNet, до недавнего времени Joomla была второй по популярности системой управления контентом в мире, и хотя она далеко не так велика, как WordPress, количество веб-сайтов на ее основе превышает 2 миллиона. Ответственность за людей, которые управляют проектом, довольно велика, и допускать утечку незашифрованных резервных копий таким образом просто неприемлемо.
К счастью, за нарушением последовал аудит безопасности, и команда заверяет нас, что был внесен ряд изменений в политики и процедуры. Это определенно лучше, чем когда-либо, и мы надеемся, что разработчики других проектов такого масштаба извлекут уроки из ошибок Joomla и примут необходимые меры предосторожности, прежде чем какие-либо данные будут представлены.