De security- en infrastructuurteams van Drupal.org hebben ongeautoriseerde toegang tot accountinformatie ontdekt, meldt het open source-CMS op de eigen site. Inbrekers blijken te zijn binnengedrongen en hebben daarbij accountinformatie in handen gekregen. De inbraak is gepleegd via software van derden die was geïnstalleerd op de Drupal.org-servers.

Bekende kwetsbaarheid

Het "was niet het gevolg van een kwetsbaarheid in Drupal zelf", benadrukt directeur Holly Ross van de Drupal Association. De wél lekke software waarlangs de inbraak is gepleegd, blijft vooralsnog geheim. "We hebben samengewerkt met de leverancier om te bevestigen dat het een bekende kwetsbaarheid is", informatie over dit beveiligingsgat is publiekelijk bekend gemaakt.

De buitgemaakte gebruikersgegevens betreft alleen accountdata die is opgeslagen bij Drupal.org en bij groups.drupal.org. De gegevens van gebruikers op individuele Drupal-sites zijn níet geraakt, laat Ross weten. Drupal waarschuwt hierbij wel voor het risico van hergebruik van wachtwoorden, voor verschillende sites en diensten.

Niet alles 'gezouten'

Bij de inbraak is in ieder geval deze gebruikersdata gestolen: gebruikersnamen, mailadressen, landeninformatie en de wachtwoorden. Laatstgenoemde zijn zowel versleuteld als ook voorzien van zogeheten salt. Dit zijn toegevoegde tekens (het zogenaamde 'zout') waardoor versleutelde informatie (de zogeheten hashes) langer worden dan ze eigenlijk zijn. Dit bemoeilijkt het ontcijferen van de eigenlijke informatie, zoals een wachtwoord.

Ross biecht echter op dat niet alle wachtwoorden zijn 'gezouten'. "Sommige oudere wachtwoorden op sommige subsites zijn niet salted." Het versleutelen (hashen) is wel gedaan met meerdere rondes, uitgevoerd met PHPass.

Resetbelasting voor servers

"We onderzoeken het incident echter nog en kunnen mogelijk nog ontdekken dat andere soorten informatie zijn gecompromitteerd." Ross belooft dat Drupal gebruikers zal waarschuwen als dit het geval mocht zijn.

Gebruikers met een account bij Drupal zelf krijgen nu het dringende advies hun wachtwoord te resetten. Dit kan door naar de wachtwoordpagina van Drupal.org te gaan en daar de eigen gebruikersnaam of mailadres in te voeren. Vervolgens stuurt Drupal een mail met daarin een resetlink. In de blogpost stelt Ross dat het zo'n 15 minuten kan duren voordat die mail aankomt, maar op de bewuste wachtwoordpagina staat inmiddels te lezen dat het een uur kan duren. Vanwege een hoge belasting van Drupals mailservers.

Update:

Aangevuld dat Holly Ross van de Drupal Association is.

Met dank aan Webwereld-lezer pgrond.