A Joomla ingyenes tartalomkezelő rendszer fejlesztői annak felfedezéséről, hogy a resources.joomla.org webhely teljes biztonsági másolatait, beleértve a JRD (Joomla Resources Directory) felhasználói adatbázist is, harmadik fél tárolójában helyezték el.
A biztonsági másolatok nem voltak titkosítva, és 2700, a resources.joomla.org oldalon regisztrált tag adatait tartalmazták, amely webhely információkat gyűjt a Joomla-alapú webhelyeket létrehozó fejlesztőkről és szállítókról. Az adatbázis a nyilvánosan elérhető személyes adatokon túl a jelszókivonatokról, a nem publikált rekordokról és az IP-címekről is tartalmazott információkat. A JRD címtárban regisztrált összes felhasználót javasoljuk, hogy változtassa meg jelszavát, és elemezze az esetleges duplikált jelszavakat más szolgáltatásokban.
A biztonsági másolatot a projekt egyik résztvevője helyezte el az Amazon Web Services S3 külső tárhelyére, amely a korábbi vezető által alapított külső cég tulajdonában volt. JRD, aki az incidens idején a fejlesztők között maradt. Az incidens elemzése még nem fejeződött be, és nem világos, hogy a biztonsági másolat harmadik kézbe került-e. Ugyanakkor az incidens után lefolytatott audit kimutatta, hogy a resources.joomla.org szerveren olyan rendszergazdai jogokkal rendelkező fiókok találhatók, amelyek nem a Joomla projektet karbantartó Open Source Matters cég alkalmazottaié (nincs pontosítva, hogy hogyan ezek az emberek kapcsolódnak a projekthez).
Forrás: opennet.ru