Canonical explique que le forum d'Ubtuntu a été victime d'une faille de sécurité à cause d'un module qui n'avait pas été mis à jour. Des données personnelles de deux millions d'utilisateurs sont dans la nature, mais pas les mots de passe en clair.
Le 14 juillet, Canonical a été informé que des pirates revendiquaient avoir récupéré des informations provenant de la base de données de son forum. Après investigation, il s'avère que c'était bel et bien le cas. Dans un billet de blog, la société s'explique.
Une brèche par injection SQL, identifiants, emails et adresses IP dans la nature
La faille se cachait dans l'extension Forumrunner de vBulletin qui était vulnérable à une attaque par injection SQL. « Cela donnait aux attaquants la possibilité de lire toutes les tables, mais nous croyons qu'ils n'ont accédé qu'à la table 'user' » indique Canonical.
Ils ont ainsi récupéré une « portion » des données concernant tout de même deux millions d'utilisateurs. Il est question des noms d'utilisateurs, des adresses email ainsi que des adresses IP correspondantes. On retrouve également des mots de passe, mais il ne s'agit que d'une chaine aléatoire (qui est en plus hachée et salée) renvoyée par le SSO Ubuntu utilisé pour établir la connexion.
Des mesures pour éviter que cela ne se reproduise
« Nous savons que l'attaquant n'a pas pu avoir accès aux vrais mots de passe des utilisateurs » affirme Ubuntu... qui ne donne par contre aucun détail sur les algorithmes utilisés, il faut donc la croire sur parole. La société ajoute que les systèmes de mises à jour ainsi que les dépôts où se trouvent le code d'Ubuntu n'ont pas été violés. De plus, elle « pense » que les pirates n'ont pas pu écrire d'informations dans ses bases de données. De manière générale, aucun autre service ne semble avoir été touché.
Bien évidemment, les serveurs et vBulletin ont été mis à jour avec l'application des derniers patchs de sécurité. Un firewall supplémentaire a été installé (ModSecurity) et une surveillance accrue instaurée afin de vérifier que les mises à jour de sécurité de vBulletin sont correctement appliquées. Par sécurité, l'ensemble des mots de passe a été réinitialisé.
Dans tous les cas, les risques sont toujours les mêmes dans cette situation : une attaque par phishing où un pirate essaye de se faire passer pour Ubuntu afin de récupérer des données personnelles. Quoi qu'il en soit, cette affaire est également l'occasion de rappeler, une fois encore, l'importance des mises à jour et de les effectuer rapidement lorsqu'elles touchent à la sécurité.
Commentaires (29)
#1
Ah ça m’avais manqué ce genre de news. " />
#2
La preuve que Linux c’est plein de failles :/
Personne n’a encore réussi à pirater Technet de MS
" />
#3
Ou qu’il n’y a aucun challenge à le faire " />
" />
#4
ou les pirates ont honte de dire qu’ils l’ont fait " />
#5
#6
Ouf, j’ai cru que c’était le forum francophone " />
#7
C’est difficile de chiffrer les données personnelles sur le serveur ?
#8
Ca devient une maladie ces boites qui ne sont pas capables de garantir la sécurité des données de leurs clients/utilisateurs :(.
#9
#10
Ils n’ont pas fait apt-get update && apt-get upgrade sur leur serveur ?
Ils n’ont pas cloisonné leurs services dans des containers lxd ?
Ok, j’arrête de troller " />
#11
sans la moyenne de 2 news du genre par mois y a comme un manque " />
#12
Question sûrement bête: y’a quoi comme données vraiment personnelles sur un forum Ubuntu? " />
Y’a besoin de donner son nom/prénom lors de l’inscription? Ou alors il s ‘agit “seulement” des adresses mail.
#13
On retrouve également des mots de passe, mais il ne s’agit que d’une chaine aléatoire (qui est en plus hachée et salée)
Manque plus que poivre, œuf, oignons et câpres pour avoir des mots de passe tartare. (Désolé…)
#14
#15
" />
#16
#17
Okcéb1
#18
#19
#20
Genre il y a 2 millions d’inscrit dans les forums Ubuntu. On sait bien que les Linuxiens ça existe pas en vrai.
A tous les coups ce sont des comptes créé par des robots exploitants d’autres failles dans le formulaire d’inscription …
#21
#22
Tu as cet article : http://forums.phpbb-fr.com/documentation/divers/forums-et-vie-privee-a91-view.ht…
#23
Plusieurs choses:
#24
" /> " />" />
#25
#26
#27
En même temps, ils n’ont qu’à pas utiliser vBulletin (logiciel propriétaire). " />
#28
#29
Pareil " />
Quoiqu’il est si souvent en carafe que ça limite le risque de piratage " />