Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/05/2013
Drupal.org ha sido hackeado, una serie de contraseñas de usuario han sido comprometidas
Una vulnerabilidad en el software de terceros instalado en la infraestructura de servidor Drupal.org ha permitido a los ciberdelincuentes acceder a la información de cuentas de drupal.org y groups.drupal.org.
Según un anuncio publicado por los representantes de Drupal, el incidente no es el resultado de una vulnerabilidad en Drupal y los sitios que ejecutan el sistema de gestión de contenidos de Drupal no deberían ser afectados.
Sin embargo, los atacantes han logrado acceder a nombres de usuarios, direcciones de correo electrónico, contraseñas hasheadas e información del país. Se dice que las contraseñas son hasheadas y saldas, pero no todas. Algunas de las contraseñas más antiguas en algunos subsitios no son saladas.
No se sabe qué algoritmo de cifrado ha sido utilizado para proteger las contraseñas, pero las cuentas de los usuarios afectados de Drupal deberían ser seguras porque la empresa ha decidido restablecer las contraseñas.
Por otro lado, se recomienda que los clientes que utilizan la misma contraseña para proteger otras cuentas también cambien sus claves de acceso a esos sitios.
Los atacantes han aprovechado la vulnerabilidad del software de terceros para plantar archivos maliciosos en la infraestructura de servidor de Drupal.org. Los archivos en cuestión fueron descubiertos durante una auditoría de seguridad.
Por el momento, los representantes de Drupal creen que sólo nombres de usuario, direcciones de correo electrónico, hashes de contraseñas y datos del país han sido comprometidos, pero la investigación sobre el asunto está en curso, por lo que el Equipo de Seguridad de Drupal podría descubrir que otra información también ha sido expuesta.
La empresa hace hincapié en que no hay ninguna evidencia para sugerir que los atacantes han modificado el núcleo o aportado proyectos o paquetes en Drupal.org.
Los sitios que ejecutan Drupal no se ven afectados y no existe ninguna evidencia de que los números de tarjeta de crédito han sido interceptados. El sitio web no almacena ninguna información de tarjetas de crédito.
Sin embargo, se recomienda que los usuarios que hayan realizado transacciones en association.drupal.org o aquellos que utilicen la misma contraseña para sus cuentas bancarias en línea monitoricen de cerca sus registros financieros.
En cuanto a la identidad de los atacantes, los representantes de Drupal dicen que no tienen nada que compartir en este momento.
Para evitar futuros incidentes, se hicieron varios cambios a la infraestructura y las aplicaciones.