Ang mga nag-develop sa libre nga sistema sa pagdumala sa sulud nga Joomla mahitungod sa pagkadiskobre sa kamatuoran nga ang bug-os nga backup nga mga kopya sa resources.joomla.org nga website, lakip ang JRD (Joomla Resources Directory) user database, gibutang sa usa ka third-party storage facility.
Ang mga backup wala gi-encrypt ug gilakip ang datos gikan sa 2700 ka miyembro nga narehistro sa resources.joomla.org, usa ka site nga nagkolekta og impormasyon bahin sa mga developers ug vendors nga naghimo sa Joomla-based nga mga website. Dugang sa personal nga datos nga magamit sa publiko, ang database adunay kasayuran bahin sa mga hash sa password, wala mamantala nga mga rekord, ug mga adres sa IP. Ang tanan nga mga tiggamit nga narehistro sa direktoryo sa JRD gitambagan nga usbon ang ilang mga password ug analisa ang posible nga mga doble nga password sa ubang mga serbisyo.
Ang backup gibutang sa usa ka partisipante sa proyekto sa pagtipig sa ikatulo nga partido sa Amazon Web Services S3, nga gipanag-iya sa usa ka kompanya sa ikatulo nga partido nga gitukod sa kanhing lider. Si JRD, kinsa nagpabilin sa mga developer sa panahon sa insidente. Wala pa mahuman ang pagtuki sa insidente ug dili klaro kung nahulog sa ikatulo nga kamot ang backup nga kopya. Sa parehas nga oras, usa ka pag-audit nga gihimo pagkahuman sa insidente nagpakita nga ang server sa resources.joomla.org adunay mga account nga adunay mga katungod sa tagdumala nga dili iya sa mga empleyado sa kompanya sa Open Source Matters, nga nagmintinar sa proyekto sa Joomla (wala gitino kung giunsa konektado kini nga mga tawo sa proyekto).
Source: opennet.ru