Joomla团队宣布由未加密的备份引起的安全漏洞
运行Joomla(一个开源项目,也是世界上最受欢迎的内容管理系统之一)的开发人员上周报告了一次数据泄露事件。该小组的一位前成员将整个Joomla资源目录网站的备份上传到了不受保护的Amazon Web Service(AWS)S3存储桶。备份中包括大约2700个注册用户的详细信息。 Joomla团队决定不清除地毯下的漏洞,并在相当详细的通知中描述了该事件。有些人可能认为这是一个奇怪的决定。
无论如何,大多数公开的数据都是公开可用的
大多数受影响的帐户由使用该网站宣传其技能和服务的开发人员拥有。公开的详细信息包括名称,电子邮件地址,物理地址,电话号码,公司网站,通讯订阅首选项,IP地址和哈希密码。除密码外,所有内容均为纯文本格式,并且整个备份未加密。
这不是一件好事,但是必须说,受影响的用户没有太多担心。无论如何,大多数信息都是可以公开访问的,因此尽管没有关于是否有人访问过公开备份的信息,但是这种特殊数据泄露的潜在影响却很小。
不良的备份处理效果不佳
尽管该漏洞的严重程度较低,但Joomla团队似乎仍在认真对待这一事件。所以他们应该。
正如ZDNet所指出的那样,直到最近,Joomla还是世界上第二大最受欢迎的内容管理系统,尽管它远不及WordPress这么大,但基于它的网站数量却远远超过了200万。对于负责该项目的人员来说,这是非常巨大的责任,而让未加密的备份泄漏出去是根本不可接受的。
幸运的是,在违规之后进行了安全审核,并且团队向我们保证,已对策略和程序进行了许多更改。这绝对是比以往更好的情况,我们希望其他规模如此大的项目的开发人员将从Joomla的错误中吸取教训,并在暴露任何数据之前采取必要的预防措施。