Ontwikkelaars van het gratis contentmanagementsysteem Joomla over de ontdekking van het feit dat volledige back-ups van de website resources.joomla.org, inclusief de JRD (Joomla Resources Directory) gebruikersdatabase, in een opslagfaciliteit van derden zijn geplaatst.
De back-ups waren niet gecodeerd en bevatten gegevens van 2700 leden die geregistreerd waren op resources.joomla.org, een site die informatie verzamelt over ontwikkelaars en leveranciers die op Joomla gebaseerde websites maken. Naast openbaar beschikbare persoonlijke gegevens bevatte de database informatie over wachtwoord-hashes, niet-gepubliceerde records en IP-adressen. Alle gebruikers die in de JRD-directory zijn geregistreerd, wordt geadviseerd hun wachtwoorden te wijzigen en mogelijke dubbele wachtwoorden op andere services te analyseren.
De back-up werd door een projectdeelnemer geplaatst op opslag van derden in Amazon Web Services S3, eigendom van een extern bedrijf opgericht door de voormalige leider JRD, die ten tijde van het incident een van de ontwikkelaars bleef. De analyse van het incident is nog niet afgerond en het is niet duidelijk of de reservekopie in derde handen is gevallen. Tegelijkertijd bleek uit een audit die na het incident werd uitgevoerd dat de server resources.joomla.org accounts bevatte met beheerdersrechten die niet toebehoorden aan werknemers van het bedrijf Open Source Matters, dat het Joomla-project onderhoudt (het is niet gespecificeerd hoe verbonden deze mensen zijn met het project).
Bron: opennet.ru