Joomla團隊宣布由未加密的備份引起的安全漏洞

運行Joomla（一個開源項目，也是世界上最受歡迎的內容管理系統之一）的開發人員上週報告了一次數據洩露事件。該小組的一位前成員將整個Joomla資源目錄網站的備份上傳到了不受保護的Amazon Web Service（AWS）S3存儲桶。備份中包括大約2700個註冊用戶的詳細信息。 Joomla團隊決定不清除地毯下的漏洞，並在相當詳細的通知中描述了該事件。有些人可能認為這是一個奇怪的決定。

無論如何，大多數公開的數據都是公開可用的

大多數受影響的帳戶由使用該網站宣傳其技能和服務的開發人員所擁有。公開的詳細信息包括名稱，電子郵件地址，物理地址，電話號碼，公司網站，通訊訂閱首選項，IP地址和哈希密碼。除密碼外，所有內容均為純文本格式，並且整個備份未加密。

這不是一件好事，但是必須說，受影響的用戶沒有太多擔心。無論如何，大多數信息都是可以公開訪問的，因此儘管沒有關於是否有人訪問過公開備份的信息，但是這種特殊數據洩露的潛在影響卻很小。

不良的備份處理效果不佳

儘管該漏洞的嚴重程度較低，但Joomla團隊似乎仍在認真對待這一事件。所以他們應該。

正如ZDNet所指出的那樣，直到最近，Joomla還是世界上第二大最受歡迎的內容管理系統，儘管它遠不及WordPress這麼大，但基於它的網站數量卻遠遠超過了200萬。運行該項目的人員的責任是巨大的，這樣就無法接受未加密的備份洩漏。

幸運的是，在違規之後進行了安全審核，並且團隊向我們保證，已對策略和程序進行了許多更改。這絕對是比以往更好的情況，我們希望其他規模如此大的項目的開發人員將從Joomla的錯誤中吸取教訓，並在暴露任何數據之前採取必要的預防措施。