
Πιθανή παραβίαση δεδομένων χρηστών στο JED
- Αλκαίος Αναγνωστόπουλος, Κλεάνθης Δέλλιος, Αχιλλέας Παπαγεωργίου
- Εμφανίσεις: 4871
Breach ref #: 2019/01/JED
(Η παρούσα ανακοίνωση εκδόθηκε σύμφωνα με τα Άρθρα 33 και 34 του Ευρωπαϊκού Γενικού Κανονισμού για την Προστασία των Δεδομένων).
Στοιχεία Παραβίασης
Ημερομηνία κατά την οποία η παραβίαση έγινε αντιληπτή: |
15 Μαΐου 2019 - 14.00 UTC+2 |
Ημερομηνία εύρεσης της παραβίασης μετά από διερεύνηση: |
11 Μαΐου 2019 |
Αριθμός ατόμων που ενδεχομένως έχουν επηρεαστεί: |
Οι χρήστες που διατηρούν λογαριασμό στον ιστότοπο https://extensions.joomla.org |
Μορφή παραβίασης: |
Πιθανή έκθεση προσωπικών δεδομένων |
Περιγραφή παραβίασης: |
Χρησιμοποιήθηκε μια ευπάθεια λογισμικού για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε δύο διακομιστές που σχετίζονται με τον Joomla Extension Directory (JED). |
CVE ευπάθειας: |
|
Πως μας γνωστοποιήθηκε η παραβίαση: |
Η ομάδα Ασφάλειας του Joomla (Joomla Security Team) έλαβε μία αναφορά από έναν Ερευνητή Ασφάλειας. |
Δεδομένα που πιθανώς έχουν επηρεαστεί: |
|
Συνέπειες παραβίασης: |
Τα προσωπικά δεδομένα που περιέχονται στο JED ενδέχεται να έχουν προσπελαστεί. Περαιτέρω έρευνα βρίσκεται σε εξέλιξη για να εξακριβωθεί κατά πόσον υπήρξε πρόσβαση στα δεδομένα. |
Προτροπή: |
Παρόλο που δεν έχουμε κάποια απόδειξη σχετικά με την έκθεση δεδομένων, συνιστούμε, ιδιαιτέρως, στους χρήστες που διατηρούν λογαριασμό στο Joomla Extensions Directory και χρησιμοποιούν τον ίδιο κωδικό πρόσβασης (ή συνδυασμό της ηλεκτρονικής τους διεύθυνσης και κωδικού) και σε άλλες υπηρεσίες, να προβούν άμεσα στην αλλαγή του κωδικού πρόσβασής τους για λόγους ασφάλειας. |
Οι διεργασίες του επηρεαζόμενου ιστοτόπου αλλά και οι διακομιστές αυτού, έχουν διακοπεί κατά τη φάση της διερεύνησης του προβλήματος. Περαιτέρω αναφορές θα δημοσιευθούν μετά το πέρας της διερεύνησης.
Καθώς η διαδικασία διερεύνησης συνεχίζεται και οι επηρεασμένες υπηρεσίες θα επαναφέρονται, δεν θα προβούμε στην απάντηση περισσότερων ερωτήσεων τη δεδομένη χρονική στιγμή. Μια ολοκληρωμένη αναφορά συμβάντος θα δημοσιευθεί πριν τις 17 Μαΐου 21:00 UTC.
Λυπούμαστε για την όποια αναστάτωση. Είμαστε εις βάθος αφοσιωμένοι στην παροχή της καλύτερης και ασφαλέστερης υποδομής για την κοινότητά μας. Σας ευχαριστούμε για την υποστήριξη και την κατανόησή σας.
UPDATE, 17 Μαϊου 2019
Μπορείτε να βρείτε όλη την αναφορά ασφάλειας (στα αγγλικά) σε συνέχεια της παρούσας ανακοίνωσης. Συνοπτικά και σύμφωνα με την αναφορά, δεν διαπιστώνεται καμία μορφή κακόβουλης παραβίασης των δεδομένων των χρηστών του JED.
Απόδοση στα ελληνικά: Αλκαίος Αναγνωστόπουλος, Κλεάνθης Δέλλιος, Αχιλλέας Παπαγεωργίου