Вы здесь

Важное сообщение о безопасности: сброс паролей на drupal.org

Команда безопасности и команда инфраструктуры обнаружили несанкционированный доступ к данным аккаунтов на drupal.org и groups.drupal.org. Доступ осуществлялся посредством стороннего программного обеспечения, установленного на сервере drupal.org и не является результатом уязвимости самого Друпала.

Был получен доступ к логинам, хешам паролей, почтовым адресам и данным о стране. Мы расследуем инцидент и если был получен доступ к другим данным, то мы сообщим об этом дополнительно. В качестве меры предосторожности, мы сбросили пароли от всех аккаунтов и требуем от пользователей установить новый пароль при следующем входе в аккаунт. Пароль может быть изменён в любое время, для чего нужно выполнить следующие шаги:

  • Перейти на страницу https://drupal.org/user/password
  • Ввести логин и почтовый адрес
  • Перейти по ссылки в письме и ввести новый пароль (письмо придёт в течение 15 минут)

Все пароли на drupal.org хешированы и просолены, а старые пароли на некоторые подсайтах не просаливались.

Что случилось?

Несанкционированный доступ осуществлялся через стороннее программное обеспечение установленное на сервере drupal.org и не является результатом уязвимости самого Друпала. Мы работаем с поставщиком услуги, чтобы подтвердить это. В настоящий момент мы ведём расследование инциндента и поделимся информацией в случае необходимости. Обнаружив сторонние файлы в процессе аудита безопасности, мы отключили сайт association.drupal.org, чтобы уменьшить возможные проблемы. После этого команда безопасности начала расследование и выяснила, что доступ к данным аккаунтов был получен через эту уязвимость.

Что мы делаем по этому поводу?

Мы очень серьёзно относимся к безопасности drupal.org. Так как атаки на специализированные сайты (вне зависимости от ПО на котором они работают) являются общим явлением, мы стремимся постоянно улучшать безопасность всех сайтов drupal.org. Сейчас мы предприняли следующие шаги:

  • Сотрудники OSU Open Source Lab (хостинг drupal.org) и команда инфраструктуры усилили меры безопасности на серверах
  • Просканировали серверы и не нашли других вредоносных или опасных файлов
  • Сделали статические архивы старых подсайтов drupal.org, которые создавались под определённые события и до сих пор работали

Мы проводим расследование инцидента и не можем немедленно ответить на все возникающие у вас вопросы. Но мы стремимся к прозрачности и отчитаемся перед сообществом после окончания расследования.

Если у вас есть основания полагать, что к вашим данным получил доступ кто-то кроме вас, то немедленно свяжитесь с Ассоциацией Друпала отправив письмо на адрес password@association.drupal.org. Мы сожалеем о произошедшем и хотим вас заверить, что прилагаем все усилия для улучшения безопасности.

Спасибо,
Holly Ross,
Исполнительный директор Ассоциации Друпала.