Drupal.org paswoorden ge-reset
Na een hack van de Drupal.org server heeft de organisatie de paswoorden van ca. 1 miljoen accounts ge-reset. Websites die van Drupal gebruik maken, hebben geen probleem.
Volgens een blogpost op de website van Drupal.org werd account informatie van Drupal.org en groups.drupal.org gelekt door een zwakheid in software van derden die op de servers was geïnstalleerd. De organisatie benadrukt dat het niet gaat om een probleem met het Drupal content management system zelf.
Onder de vrijgekomen informatie bevinden zich gebruikersnamen, e-mailadressen, en landinformatie, evenals gehashte paswoorden. Er wordt nog gecontroleerd of nog andere informatie werd gelekt, maar rupal.org stelt in ieder geval dat op deze serverinfrastructuur geen kredietkaartgegevens werd opgeslagen. Drupal.org wijst er voorts op dat de paswoorden zelf werden ge-‘salted’ en meervoudig gehasht, wat misbruik sterk bemoeilijkt (‘salted’ betekent dat willekeurige tekens aan het paswoord werden toegevoegd bij de opslag).
Als voorzorgsmaatregel heeft Drupal.org de paswoorden van alle Drupal.org accounts ge-reset, en moeten de gebruikers hun paswoord bij hun volgende log-in aanpassen. In de blogpost wordt ook nog even uitgelegd hoe een paswoord aan te passen, en welke bijkomende voorzorgen kunnen worden genomen (beschreven in de FAQ-vraag en antwoordenlijst in de blogpost).
Websites die gebruik maken van Drupal zijn niet getroffen, en dat geldt tevens voor Acquia, het bedrijf van Dries Buytaert dat diensten rond Drupal levert.
Overigens werd de reactie van Drupal.org geprezen in commentaren, omdat de organisatie meteen hierover communiceerde, duidelijk maakte welke informatie werd gelekt en wat het mogelijke risico is (en hoe hier aan te verhelpen).
Fout opgemerkt of meer nieuws? Meld het hier