Na semana passada, um membro da equipa do Joomla Resources Directory (JRD) deixou um backup completo não cifrado do site JRD (resources.joomla.org) num bucket inseguro do Amazon Web Services S3 utilizado pela própria organização.
A Joomla ainda não revelou se terceiros encontraram e acederam ao bucket S3.
“JRD full site backups (unencrypted) were stored in a third-party company Amazon Web Services S3 bucket. The third-party company is owned by a former Team Leader, still Member of the JRD team at the time of the breach.” reads the data breach notification. “Known to the current Team Leader at the time of the breach. (https://volunteers.joomla.org/teams/resource-directory-team) Each backup copy included a full copy of the website, including all the data.”
O backup continha detalhes de aproximadamente 2.700 usuários que registaram e criaram perfis no website do JRD.
O Joomla Resources Director portal permite que profissionais e programadores anunciem os seus próprios serviços.
Neste momento, a equipa do Joomla está a investigar a fuga de informação. Atualmente, não está claro se alguém encontrou e fez o download dos dados do servidor S3 da AWS.
A equipa do Joomla também realizou uma auditoria de segurança completa do portal.
O data breach vaza os seguintes detalhes dos utilizadores:
- Full name
- Business address
- Business email address
- Business phone number
- Company URL
- Nature of business
- Encrypted password (hashed)
- IP address
- Newsletter subscription preferences
A notificação de violação de dados afirma que a maioria dos dados eram públicos, porque era um diretório público; de qualquer maneira, dados privados (listagens não publicadas e não aprovadas, tickets) foram expostos na violação.
A equipe do Joomla está a solicitar a todos os utilizadores do JRD que alterem a sua password no portal do JRD e em outros sites onde tenham partilhado as credenciais de autenticação.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.