Développeurs du système de gestion de contenu gratuit Joomla concernant la découverte du fait que des copies de sauvegarde complètes du site Web resources.joomla.org, y compris la base de données des utilisateurs JRD (Joomla Resources Directory), ont été placées dans une installation de stockage tierce.
Les sauvegardes n'étaient pas cryptées et incluaient les données de 2700 XNUMX membres enregistrés sur resources.joomla.org, un site qui collecte des informations sur les développeurs et les fournisseurs qui créent des sites Web basés sur Joomla. En plus des données personnelles accessibles au public, la base de données contenait des informations sur les hachages de mots de passe, les enregistrements non publiés et les adresses IP. Il est conseillé à tous les utilisateurs inscrits dans l'annuaire JRD de modifier leur mot de passe et d'analyser les éventuels mots de passe en double sur d'autres services.
La sauvegarde a été placée par un participant au projet sur un stockage tiers dans Amazon Web Services S3, propriété d'une société tierce fondée par l'ancien dirigeant. JRD, qui restait parmi les développeurs au moment de l'incident. L'analyse de l'incident n'est pas encore terminée et il n'est pas clair si la copie de sauvegarde est tombée entre de troisièmes mains. Parallèlement, un audit réalisé après l'incident a montré que le serveur resources.joomla.org contenait des comptes avec des droits d'administrateur qui n'appartenaient pas aux salariés de la société Open Source Matters, qui maintient le projet Joomla (il n'est pas précisé comment ces personnes sont connectées au projet).
Source: opennet.ru