Na semana passada, um membro da equipa do Joomla Resources Directory (JRD) deixou um backup completo não cifrado do site JRD (resources.joomla.org) num bucket inseguro do Amazon Web Services S3 utilizado pela própria organização.
A Joomla ainda não revelou se terceiros encontraram e acederam ao bucket S3.
“JRD full site backups (unencrypted) were stored in a third-party company Amazon Web Services S3 bucket. The third-party company is owned by a former Team Leader, still Member of the JRD team at the time of the breach.” reads the data breach notification. “Known to the current Team Leader at the time of the breach. (https://volunteers.joomla.org/teams/resource-directory-team) Each backup copy included a full copy of the website, including all the data.”
O backup continha detalhes de aproximadamente 2.700 usuários que registaram e criaram perfis no website do JRD.
O Joomla Resources Director portal permite que profissionais e programadores anunciem os seus próprios serviços.
Neste momento, a equipa do Joomla está a investigar a fuga de informação. Atualmente, não está claro se alguém encontrou e fez o download dos dados do servidor S3 da AWS.
A equipa do Joomla também realizou uma auditoria de segurança completa do portal.
O data breach vaza os seguintes detalhes dos utilizadores:
- Full name
- Business address
- Business email address
- Business phone number
- Company URL
- Nature of business
- Encrypted password (hashed)
- IP address
- Newsletter subscription preferences
A notificação de violação de dados afirma que a maioria dos dados eram públicos, porque era um diretório público; de qualquer maneira, dados privados (listagens não publicadas e não aprovadas, tickets) foram expostos na violação.
A equipe do Joomla está a solicitar a todos os utilizadores do JRD que alterem a sua password no portal do JRD e em outros sites onde tenham partilhado as credenciais de autenticação.