Joomla lekt gebruikersgegevens via onversleutelde back-ups
De ontwikkelaars van contentmanagementsysteem (cms) Joomla hebben 2700 gebruikers gewaarschuwd voor een datalek met onversleutelde back-ups waarbij hun persoonlijke gegevens zijn gelekt. Het gaat om gebruikers met een account op de Joomla Resources Directory, waar partijen hun Joomla-gerelateerde diensten kunnen aanbieden. Joomla is een cms dat door meer dan 1,5 miljoen websites wordt gebruikt.
Via de Joomla Resources Directory (JRD) kunnen organisaties en bedrijven ontwikkelaars en andere partijen zoeken die bij de verdere ontwikkeling van hun Joomla-website kunnen helpen. Het gaat dan bijvoorbeeld om partijen op het gebied van migraties, security, ontwerp, marketing, training en technische ondersteuning. Bij het datalek waarover Joomla bericht werden onversleutelde back-ups van de JRD in de Amazon Web Services S3-bucket van een derde partij opgeslagen.
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. De derde partij die de S3-bucket beheerde is eigendom van een voormalige teamleider van de Joomla Resources Directory en ten tijde van het datalek nog steeds lid van het JRD-team. Elke onversleutelde back-up bevatte een volledige kopie van de website. Het gaat onder andere om volledige naam, zakelijke adresgegevens, zakelijk e-mailadres, zakelijk telefoonnummer, bedrijfswebsite, gehasht wachtwoord, ip-adres en andere informatie van 2700 gebruikers die een JRD-account hadden.
De meeste van deze gegevens zijn openbaar en er zijn volgens Joomla geen aanwijzingen dat derde partijen toegang tot de onversleutelde back-ups hebben gekregen. Toch krijgen gebruikers die hun JRD-wachtwoord ook voor andere websites gebruiken het advies het wachtwoord daar te wijzigen. Het datalek kwam na een interne website-audit aan het licht.
Naar aanleiding van het incident zijn er verschillende aanpassingen doorgevoerd. Zo gebruikt de officiële back-upconfiguratie nu volledige encryptie en alleen door de organisatie goedgekeurde locaties. Tevens heeft er een uitgebreide systeemaudit plaatsgevonden waarbij tweefactorauthenticatie is ingeschakeld, niet meer gebruikte en verouderde extensies zijn verwijderd en inactieve gebruikers zijn verwijderd, alsmede toegangsniveaus en gebruikersgroepen. De derde partij waar de back-ups werden opgeslagen is gevraagd die te verwijderen.
In de kernel vaak nog wel aardig onderhouden, maar qua plug-ins en settings vaak zwaar "under par".
Oudere versies draaiend en met verouderde en verlaten code vaak.
Kijk eens met vulners op webstek en waar het gehost wordt qua exploits, kwetsbaarheden, slechte implementatie.
Het blijft veelal huilen met de pet op, dweilen met de kraan open, die maar doordruppelt qua vulnerabilities.
Ga eens even na voor bijvoorbeeld bootstrap.js https://www.w3schools.com/bootstrap/bootstrap_alerts.asp
Kortom een drama in steeds voortgaande afleveringen.
luntrus
Dat is nou pech, dit heeft zo te zien niks met PHP te maken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
