Sviluppatori del sistema di gestione dei contenuti gratuito Joomla della scoperta del fatto che copie di backup complete del sito web resources.joomla.org, compreso il database degli utenti JRD (Joomla Resources Directory), sono state collocate in una struttura di archiviazione di terze parti.
I backup non erano crittografati e includevano dati di 2700 membri registrati su resources.joomla.org, un sito che raccoglie informazioni su sviluppatori e fornitori che creano siti Web basati su Joomla. Oltre ai dati personali disponibili al pubblico, il database conteneva informazioni su hash delle password, record non pubblicati e indirizzi IP. Si consiglia a tutti gli utenti registrati nella directory JRD di modificare le proprie password e di analizzare eventuali password duplicate su altri servizi.
Il backup è stato inserito da un partecipante al progetto su storage di terze parti in Amazon Web Services S3, di proprietà di una società terza fondata dall'ex leader JRD, rimasto tra gli sviluppatori al momento dell'incidente. L'analisi dell'incidente non è ancora stata completata e non è chiaro se la copia di backup sia caduta in mani terze. Allo stesso tempo, un audit effettuato dopo l'incidente ha dimostrato che il server resources.joomla.org conteneva account con diritti di amministratore che non appartenevano a dipendenti della società Open Source Matters, che mantiene il progetto Joomla (non è specificato come collegate queste persone al progetto).
Fonte: opennet.ru