Het Amerikaanse softwarebedrijf EllisLab, bekend van de CMS-software Expression Engine, heeft gebruikers gewaarschuwd dat hun gegevens mogelijk zijn gestolen nadat aanvallers toegang tot een server van het bedrijf wisten te krijgen. De aanval vond plaats op 24 maart van dit jaar, waarbij een aanvaller via een gestolen "Super Admin" wachtwoord wist in te loggen.

Vervolgens installeerde hij een PHP-backdoor waardoor een groep aanvallers op de server kon inloggen. De backdoor probeerde daarnaast roottoegang tot de server te krijgen, iets wat de hostingprovider van EllisLab voorkwam. De mislukte pogingen zorgden ervoor dat de aanvallers werden ontdekt en uiteindelijk ook geblokkeerd, waarna er een onderzoek volgde. Daaruit bleek dat er geen exploit was gebruikt, maar een geldige login. Hoe de aanvallers het wachtwoord wisten te bemachtigen is onbekend.

Wel is bekend dat de aanvallers drie uur lang toegang tot de server hadden. Daardoor bestaat het risico dat de database met gebruikersgegevens is gestolen. In de database stonden gebruikersnaam, alias, profielgegevens, e-mailadres en gesalte en gehashte wachtwoorden. Volgens EllisLabs lopen gebruikers met een zwak wachtwoord het risico dat de aanvallers die via een brute force-aanval op de hash kunnen achterhalen. Gebruikers krijgen dan ook het advies om hun wachtwoord te wijzigen en dit ook te doen op websites waar ze hetzelfde wachtwoord gebruikten.