Artykuły dotyczące tematu: groups.drupal.org

dodany: 30.05.2013 | tagi: , ,

Użytkownicy Drupala zmieńcie swoje hasło

0

Zespół bezpieczeństwa drupal.org powiadomił o nieautoryzowanym dostępie do ich serwisu, a także do groups.drupal.org. Włamywacze mogli uzyskać dostęp do danych zawierających informacje o użytkownikach, tj. ich nazwę, kraj zamieszkania, e-mail, a także zahaszowane hasło. Łącznie w serwisie drupal.org zarejestrowanych jest około 967 tysięcy użytkowników. Na szczęście na atakowanym serwerze nie były przechowywane informacje związane z płatnościami kartami kredytowymi.

Administratorzy zresetowali wszystkie hasła do systemu i to samo zalecają swoim użytkownikom – najlepiej to zrobić bezpośrednio przez stronę drupal.org/user/password. Oczekiwanie na e-mail aktywujący nowe hasło może trwać nawet do godziny w związku z dużą ilością żądań resetu.

Atak nastąpił przez wykorzystanie słabości w aplikacji dostarczonej przez zewnętrzną firmę, która była zainstalowana na serwerze drupal.org. Sam problem nie leży w oprogramowaniu Drupal, także wszyscy użytkownicy posiadający zainstalowanego CMS-a we własnej domenie nie mają się czego obawiać. Zespół ludzi odpowiedzialnych za bezpieczeństwo serwisu skontaktował się z wydawcą owej aplikacji, w celu usunięcia problemu – niestety więcej informacji nie udzielono.

Administratorzy serwisu Drupal we współpracy z firmą hostingową OSU Open Source Lab podjęli także kroki bezpieczeństwa minimalizujące powtórzenie się tego typu wpadki.