Canonical waarschuwt dat onbekenden toegang hadden tot Ubuntu-forumdatabase

Canonical heeft een waarschuwing gepubliceerd, waarin staat dat onbekenden toegang hebben gehad tot de database van de Ubuntu-forums. Zij hebben alleen de user-tabel uitgelezen met gebruikersnamen, e-mailadressen en ip-adressen. Er was geen toegang tot actieve wachtwoorden.

In plaats van wachtwoorden bevatte de tabel alleen random strings, omdat de forums gebruikmaken van sso. Deze strings waren voorzien van een hash en een salt, aldus Canonical. Er was toegang tot gegevens van ongeveer 2 miljoen gebruikers. De organisatie werd donderdag op de hoogte gebracht van het incident, toen iemand claimde een kopie te bezitten van de forumdatabase. Na onderzoek bleek dat er inderdaad ongeautoriseerde toegang is geweest en werd het forum offline gehaald.

Het onderzoek wees uit dat de aanvaller is binnengekomen via een sql injection-lek in de Forumrunner-add-on, die niet was voorzien van een patch. De aanvaller had geen toegang tot de Ubuntu-repositories en kon geen gegevens naar de database schrijven, zo vult de organisatie aan. Ook was deze niet in staat een shell te openen.

Canonical meldt dat het actie heeft ondernomen door alle servers met de VBulletin-forumsoftware te wissen en geheel opnieuw op te bouwen. Ook zijn de laatste patches doorgevoerd en zijn alle wachtwoorden opnieuw ingesteld. Als aanvullende maatregelen is een ModSecurity-firewall geïnstalleerd en wordt er beter gelet op het toepassen van patches voor VBulletin.