De organisatie die verantwoordelijk is voor de populaire open-source Apache Web server bevestigt dit. De inbraak vond plaats op een publiek toegankelijke server van de Apache Software Foundation (ASF). De beheerders van de website schrijven dat in een verklaring op hun website.

In de verklaring zeggen de beheerders van de server, waarop mailinglijsten en de broncodes van alle projecten van ASF op staan, dat zij na de ontdekking van de kraak de server meteen uitgeschakeld hebben. "Er is geen enkel bewijs gevonden dat broncodes aangetast zijn na de inbraak", zo staat in de verklaring te lezen. "De integriteit van alle binaire versies van ASF software is gewaarborgd. Dat geldt ook voor de Apache webserver software.

"Apache is veruit de meest gebruikte software op webservers. Uit een rapport van Netcraft blijkt dat Apache drie keer zo vaak gebruikt wordt als Microsofts Internet Information Server. De software van Microsoft wordt wel vaker gebruikt voor beveiligde transacties.

Datum

Over de precieze datum van de kraak bestaat nog enige onduidelijkheid. SourceForge claimt dat de server op 22 mei gekraakt is. SourceForge geeft ontwikkelaars een platform waarop zij programma's kunnen ontwikkelen. Gebruikers krijgen de mogelijkheid om via deze site de software te downloaden. De Apache Software Foundation houdt het er op dat op 17 mei een Apache ontwikkelaar met een SourceForge account inlogde op een shell account bij SourceForge. Vandaar uit logde hij in op apache.org.

De ssh-client op SourceForge was echter gekraakt en maakte uitgaande namen en wachtwoorden buit. Op die manier was de kraker in staat om toegang te krijgen tot apache.org. De precieze datum kan van belang zijn bij het bepalen van de te nemen veiligheidsmaatregelen. Apache.org geeft aan dat de kraker geen toegang heeft gehad tot de broncode van de Apache software. De beheerders hebben meteen maatregelen genomen en alle code laten controleren door verantwoordelijken.

SourceForge is minder duidelijk als het om de beveiliging gaat. Er wordt niet gemeld of er broncode gewijzigd is. Het is nu onduidelijk voor ontwikkelaars vanaf welke precieze datum de broncodes aangetast zouden kunnen zijn. Dat is van belang om te weten tot welke datum men terug moet gaan om een 'schone broncode' te garanderen.