Op een server van de Apache Foundation zijn wachtwoorden buitgemaakt nadat een webdienst was gekraakt. Ook een webserver van de firma Atlassian, de leverancier van de betreffende software, werd door de hackers succesvol aangevallen.
Het Apache Infrastructure Team meldt op zijn blog dat hackers er op 5 april in zijn geslaagd om sessies van een aantal beheerders te kapen. De hackers gebruikten een cross site scripting-aanval die met een tinyurl-adres was gemaskeerd en die een lek in Jira misbruikte. Jira wordt door ontwikkelaars van de Apache Foundation gebruikt als issue tracker. Tegelijk met deze hack werd een brute force-aanval uitgevoerd op de inlogpagina van Apaches Jira-server.
De hackers slaagden er uiteindelijk in adminstratorrechten in Jira te krijgen, waarna dit systeem werd gebruikt om diverse java-applicaties te draaien, waaronder een wachtwoordenlogger. Daarmee wisten de hackers op 9 april root-toegang tot de bewuste server te krijgen. Deze server draaide ook Bugzilla en Confluence en ook hiervan moeten de wachtwoorden als gecompromitteerd worden beschouwd.
Toen de Apache-systeembeheerders de hackers ontdekten, werden de betreffende diensten in allerijl naar een andere server verhuisd. De hackers hadden inmiddels echter al een tweede server gekraakt, die net als de eerste als verloren moet worden beschouwd. Inmiddels zijn de services weer via andere servers in de lucht. Apache beschouwt alle wachtwoorden op de gehackte server als gecompromitteerd en roept gebruikers van de diensten Jira, Bugzilla en Confluence op om nieuwe wachtwoorden aan te maken.
Dezelfde hackers hebben bovendien een server van Jira-maker Atlassian gekraakt. Hierbij is een database met onversleutelde wachtwoorden buitgemaakt. Het gaat daarbij om accounts die voor juli 2008 zijn aangemaakt en die per abuis niet waren weggegooid. Het bedrijf heeft alle klanten over de aanval geïnformeerd en alle wachtwoorden gereset. Voor Jira is inmiddels een patch uitgebracht die het gebruikte xss-lek moet dichten.