Joomla sufre brecha de datos; se filtran detalles de miles de usuarios registrados

Los sistemas de gestión de contenido (CMS) son uno de los objetivos más frecuentes de ciberataques, afirman especialistas en seguridad web. Ejemplo de ello es el reciente reporte del equipo de seguridad de Joomla, que ha confirmado una violación de seguridad detectada durante la semana pasada.

El incidente habría ocurrido debido a que un miembro del Directorio de Recursos de Joomla (JRD, por sus siglas en inglés) dejara una copia de seguridad completa de su sitio web (resources.joomla.org) completamente expuesta en un bucket de Amazon Web Services (AWS).

En el reporte se menciona que esta copia de seguridad no contaba con cifrado y contenía algunos detalles de alrededor de 2 mil 700 usuarios con sitios web registrados en Joomla. Los expertos en seguridad web también mencionaron que se expusieron algunas cuentas de JDR, una plataforma en la que los desarrolladores web pueden promocionar su experiencia en la creación de sitios web de Joomla.

La investigación sobre el incidente sigue activa, mencionaron los administradores de Joomla. Hasta el momento no se ha encontrado evidencia para confirmar o negar que algún usuario haya accedido a la información expuesta; entre los datos expuestos se encuentran: 

  • Nombres completo
  • Domicilio empresarial
  • Dirección email comercial
  • Números de teléfono
  • URLs de sitios empresariales
  • Contraseñas cifradas
  • Direcciones IP, entre otros datos

Los especialistas en seguridad web señalan que la mayoría de la información expuesta es considerada de acceso público (incluyendo el directorio para profesionales del desarrollo web), por lo que la brecha de datos no es especialmente grave. No obstante, es necesario señalar que datos como las contraseñas cifradas o direcciones IP no debían estar expuestas a ningún usuario ajeno a la compañía.

Como medida de seguridad, Joomla recomienda a sus usuarios restablecer sus contraseñas para el portal JRD y en cualquier otro sitio donde empleen las mismas credenciales de inicio de sesión. Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las contraseñas expuestas en incidentes similares podrían ser empleadas por actores de amenazas para desplegar ataques de relleno de credenciales.

Después de detectar el incidente, el equipo de Joomla realizó una auditoría de seguridad en el portal expuesto. Este proceso reveló la presencia de algunas cuentas de “superusuario” propiedad de personas ajenas a Open Source Matters.

Los desarrolladores de Joomla tomaron las medidas requeridas para eliminar las cuentas en cuestión e inhabilitar cualquier cuenta que no haya iniciado sesión desde el 1 de enero de 2019. Según datos de la propia compañía, Joomla es el tercer CMS más empleado del mundo, por lo que un potencial ciberataque podría exponer a millones de usuarios.