Vdor v Drupal prizadel milijon uporabnikov

V sredo zvečer je spletna stran Drupal objavila, da so bili žrtev hekerskega napada, ki je prizadel milijon uporabnikov, saj so napadalci pridobili nekatere njihove osebne podatke. Sedaj je znanega več. Zaradi ranljivosti v tretjem programu, ki je bil nameščen na strežniku Drupal.org, so napadalci lahko pridobili naslednje podatke: uporabniška imena, elektronske naslove, državo bivanja in zgoščena vrednost (hash) gesla. Vsa gesla so bila shranjena zgoščeni (hashed) obliki z dodanimi naključnimi biti (salted), tako da neposredne nevarnosti za razbitje gesel ni. Samo nekaj starejših gesel na podstraneh je bilo le zgoščenih, a brez naključnih bitov.

Napadalci so dostop pridobili prek podstrani association.drupal.org, ki jo je Drupal takoj po odkritju ugasnil. Poleg tega so resetirali gesla milijona uporabnikov, ki se morajo za prijavo vpisati s svojim elektronskim naslovom, na katerega bodo prejeli novo geslo. Priporočajo, da si ga potem spremenijo. Drugih posledic za uporabnike ali programsko opremo, ki teče na Drupalu, ni.

Katero ranljivost v katerem programu so hekerji zlorabili, Drupal ni želel razkriti. Špekulira se, da gre za zelo razširjeno luknjo, ki je v zadnjem času ugonobila več strani. Tudi ni znano, kako so pridobili dostop do strežnika. Mimogrede omenimo članek na Ars Tehnici o razbijanju gesel, v katerem so strokovnjaki pokazali, da je mogoče s široko dostopno strojno opremo in nekaj znanja zlomiti večino gesel, četudi so shranjena v zgoščeni obliki.