• Drupal.org Comprometido

    A equipe de segurança do portal Drupal.org informa que descobriram um acesso não-autorizado para o drupal.org e groups.drupal.org, com as informações sobre contas de acesso expondo nomes-de-usuário, país e endereços de e-mail junto as strings criptografadas das senhas. Nenhuma informação sobre cartões de crédito foram armazenadas nos servidores, mas a investigação está em andamento e a equipe informa que "podem aprender sobre outros tipos de informação comprometida".


    Segurança das Senhas

    Os especialistas já aplicaram um reset em todos as senhas de acesso nos sistemas e está advertindo seus usuários que, para terem acesso ao portal novamente, precisam criar nova senha de acesso através da URL https://drupal.org/user/password, entrarem com seus nomes de usuário ou endereço de e-mail e aguardarem a chegada em suas caixas postais de um e-mail informando como recriar suas senhas. O site diz que esses e-mails poderão levar até uma hora para chegar na caixa de mensagem de cada usuário devido ao "carregamento atual" da rede com tantas requisições. Os administradores informam que as senhas armazenadas no portal Drupal.org precisam ser aplicadas um hash e um salt, mas que "algumas senhas antigas em alguns sub-sites não foram aplicadas o salt"

    Identificando o Problema

    De acordo com o consultivo, software de terceiros não especificado instalado nos servidores do projeto Drupal.org teriam comprometido a segurança e que a brecha não foi relativa a uma vulnerabilidade no software Drupal. A falha foi descoberta durante uma auditoria de segurança, depois que um número de arquivos foram descobertos que eram aparentemente utilizados para expor as informações de contas de usuários. A equipe Drupal está em contato com o desenvolvedor desse software de terceiros para garantir que o problema seja corrigido.

    Procedimento de Recuperação

    Os administradores do Drupal.org estão trabalhando com o OSU Open Source Lab, que hospeda os sites do projeto, e estão em produção de reconstrução, preparando e desenvolvendo os servidores e instalando kernels GRSEC seguros na maioria deles. A partir desse ponto, os administradores irão efetuar uma varredura na busca por outros arquivos considerados maliciosos e perigosos e informa que, até o momento, não encontraram mais nada de suspeito nos servidores. E finalmente, os sub-sites antigos do Drupal.org para eventos específicos serão convertidos para arquivos estáticos.

    Criando Senhas Seguras

    A exposição de senhas com hash e salt aplicados é mais um problema nos dias de hoje, já que as técnicas de quebra de senhas tem avançado muito, utilizando até serviços de nuvem para o feito. Uma hora ou outra essas senhas serão descobertas. Por isso é importante que os usuários do Drupal.org criem novas senhas, diferentes das anteriores, e muito mais seguras. Uma senha com o mínimo de segurança precisa ter ao menos 16 dígitos, misturando caracteres maiúsculos, minúsculos, números e demais caracteres de pontuação e marcação. Evite também em todo ou em parte utilizar nomes comuns, datas de aniversário e demais informações que possam ser facilmente descobertas com técnicas de quebra de senhas simples.

    Saiba Mais:

    - Heise Online: Drupal.org compromised (em Inglês)

    Sobre o Autor: code

    Administrador e Editor do Portal Under-Linux, desenvolvedor Linux e FOSS para Linux, autor de livros e artigos, atuando na área de Educação Digital e P&D com AI.

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L