Drupal.org: attacco informatico e misure di sicurezza

La sicurezza di due siti ufficiali di Drupal, il famoso CMS open source in PHP, sarebbe stata fortemente compromessa da un attacco informatico.

Il team di Drupal ha invitato tutti i suoi utenti, mediante un post ufficiale, a modificare subito la propria password di accesso al sito: gli accessi non autorizzati sarebbero infatti diffusi sui siti drupal.org e groups.drupal.org, e non riguarda in generale le installazioni del famoso CMS open source su altri hosting. Visto che è possibile che le password scoperte in modo illecito siano state diffuse pubblicamente, è consigliabile modificarle, e questo specialmente nel caso in cui coincidano con quelle che si usano per la propria mail (o su altri siti web).

Le informazioni a rischio riguarderebbero username, email, nazionalità e password criptate: al momento della scrittura del comunicato l’analisi è ancora in corso. Come misura di sicurezza il team ha stabilito di resettare tutte le chiavi di accesso ai due siti in questione, ed invita quindi gli utenti a modificare la propria password non appena possibile: il cambio periodico di quest’ultima, infatti, è uno dei punti chiave per mettere il proprio sito al sicuro, come abbiamo spiegato in molti nostri precedenti articoli.

A quanto pare, inoltre, l’attacco è stato effettuato mediante un software di terze parti – non specificato – installato sull’infrastruttura di server di drupal.org, ma viene altresì dichiarato che non risultano vere e proprie vulnerabilità all’interno del CMS in generale. Le informazioni potenzialmente diffuse in maniera illecita non riguardano neanche, per la cronaca, dati sensibili come numeri di carte di credito. Le misure di sicurezza generali consigliate dal team di Drupal, estendibili a tutti gli utilizzatori di siti web, sono le seguenti:

  • cambiare o resettare spesso le proprie password;
  • non utilizzare frasi semplici o parole singole, ma anche numeri o punteggiatura in abbinamento;
  • non usare mai la stessa password su più siti diversi;
  • variare il più possibile la propria password alternando, eventualmente, maiuscole/minuscole, numeri, simboli non alfabetici;
  • diffidare dalle email che chiedono informazioni personali a riguardo del proprio account.

Lascia un commento

Back to top button