無料のコンテンツ管理システム Joomla の開発者 JRD (Joomla Resources Directory) ユーザー データベースを含む、resources.joomla.org Web サイトの完全なバックアップ コピーがサードパーティのストレージ施設に配置されているという事実の発見について。
バックアップは暗号化されておらず、JoomlaベースのWebサイトを作成する開発者やベンダーに関する情報を収集するサイト、resources.joomla.orgに登録されている2700人のメンバーからのデータが含まれていた。 データベースには、公開されている個人データに加えて、パスワード ハッシュ、未公開の記録、および IP アドレスに関する情報が含まれていました。 JRD ディレクトリに登録されているすべてのユーザーは、パスワードを変更し、他のサービスで重複している可能性のあるパスワードを分析することをお勧めします。
バックアップは、プロジェクト参加者によって、元リーダーが設立したサードパーティ企業が所有するアマゾン ウェブ サービス S3 のサードパーティ ストレージに配置されました。 JRDは事件当時開発者の一人として残っていた。 この事件の分析はまだ完了しておらず、バックアップコピーが第三者の手に渡ったかどうかは明らかではない。 同時に、インシデント後に実施された監査により、resources.joomla.org サーバーには、Joomla プロジェクトを管理する Open Source Matters 社の従業員に属さない管理者権限を持つアカウントが含まれていることが判明しました (どのように管理したかは明らかにされていません)。これらの人々がプロジェクトに関わっていることを意味します)。
出所: オープンネット.ru