- Регистрация
- 23.03.13
- Сообщения
- 26
Разработчики популярной платформы для управления web-контентом Drupal сообщили об инциденте, в результате которого был совершён взлом cерверов, обслуживающих web-сайт проекта и дискуссионную площадку groups.drupal.org. В результате атаки злоумышленникам удалось получить доступ к базе пользователей Drupal.org, которая насчитывает около миллиона учётных записей, включающих персональные данные пользователей и хэшированные пароли.
Сообщается, что не исключена утечка иных данных проекта, но параметры кредитных карт пользователей не размещались на взломанном сервере, поэтому их попадание в руки злоумышленников оценивается как маловероятное. Теоретически на взломанном сервере мог быть организован перехват вводимых номеров карт, свидетельствующих о таком перехвате фактов не выявлено. Также опасение не вызывает целостность кодовой базы Drupal, так как её легко проверить путём сверки с содержимым внешних репозиториев.
В анонсе подчёркивается, что взлом был совершён через эксплуатацию уязвимости в используемом на сервере стороннем ПО, а не через проблему безопасности в платформе Drupal. Через какое именно приложение был осуществлён взлом не сообщается до устранения уязвимости в данном ПО, но судя по всему речь идёт о какой-то популярной системе, используемой на многих серверах.
Взлом был выявлен в процессе проведения аудита безопасности серверов, который показал наличие файлов, используемых для выгрузки базы пользователей. Процесс проверки других серверов не выявил следов проникновения. Для исключения подобных инцидентов в будущем решено установить на серверы проекта ядро с патчами Grsecurity и задействовать более надёжную схему хэширования паролей. Основная масса паролей хранилась в виде хэшей с "солью" (для хэширования использовался модуль PHPass), но некоторые старые пароли оставались в базе без "соли".
В связи с инцидентом принято решение о сбросе всех паролей и инициировании мероприятия по смене паролей пользователями. В настоящее время все аккаунты заблокированы, для разблокировки доступа пользователю следует поменять пароль на специальной странице сайта (новый пароль будет сгенерирован автоматически и отправлен на email). Пользователям использующим одинаковые пароли на нескольких сайтах, рекомендуется поменять пароль и в других местах.
(c) opennet.ru
Сообщается, что не исключена утечка иных данных проекта, но параметры кредитных карт пользователей не размещались на взломанном сервере, поэтому их попадание в руки злоумышленников оценивается как маловероятное. Теоретически на взломанном сервере мог быть организован перехват вводимых номеров карт, свидетельствующих о таком перехвате фактов не выявлено. Также опасение не вызывает целостность кодовой базы Drupal, так как её легко проверить путём сверки с содержимым внешних репозиториев.
В анонсе подчёркивается, что взлом был совершён через эксплуатацию уязвимости в используемом на сервере стороннем ПО, а не через проблему безопасности в платформе Drupal. Через какое именно приложение был осуществлён взлом не сообщается до устранения уязвимости в данном ПО, но судя по всему речь идёт о какой-то популярной системе, используемой на многих серверах.
Взлом был выявлен в процессе проведения аудита безопасности серверов, который показал наличие файлов, используемых для выгрузки базы пользователей. Процесс проверки других серверов не выявил следов проникновения. Для исключения подобных инцидентов в будущем решено установить на серверы проекта ядро с патчами Grsecurity и задействовать более надёжную схему хэширования паролей. Основная масса паролей хранилась в виде хэшей с "солью" (для хэширования использовался модуль PHPass), но некоторые старые пароли оставались в базе без "соли".
В связи с инцидентом принято решение о сбросе всех паролей и инициировании мероприятия по смене паролей пользователями. В настоящее время все аккаунты заблокированы, для разблокировки доступа пользователю следует поменять пароль на специальной странице сайта (новый пароль будет сгенерирован автоматически и отправлен на email). Пользователям использующим одинаковые пароли на нескольких сайтах, рекомендуется поменять пароль и в других местах.
(c) opennet.ru