Κανένα λογισμικό δεν είναι ασφαλής από την επίθεση hackers! Ούτε καν το Linux.
Τα διαδικτυακά forums του Ubuntu έχουν παραβιαστεί, και τα στοιχεία που ανήκουν σε πάνω από 2 εκατομμύρια χρήστες έχουν βρεθεί σε κίνδυνο, όπως ανακοινώθηκε από τη Canonical.
Τα εκτεθειμένα δεδομένα των χρηστών περιλαμβάνουν τις διευθύνσεις των IP τους, τα ονόματα των χρηστών, τις διευθύνσεις του ηλεκτρονικού ταχυδρομείου σύμφωνα με την εταιρεία όπου αποτύγχανε να εφαρμόσουν ένα patch για να εξασφαλίσουν την ασφάλεια των δεδομένων των χρηστών τους.
Ωστόσο, οι χρήστες θα πρέπει να έχουν κατά νου ότι η επίθεση δεν επηρέασε το λειτουργικό σύστημα των Ubuntu, ή δεν οφειλόταν σε μια ευπάθεια ή αδυναμία στο λειτουργικό σύστημα.
Αντί ‘αυτού, η παράβαση αφορούσε μόνον τα forums των Ubuntu όπου τα χρησιμοποιούν οι χρήστες για να συζητήσουν το λειτουργικό σύστημα.
Ο Jane Silber, Διευθύνων Σύμβουλος στην Canonical έγραψε σε ένα blog post:
“Υπήρξε μια παραβίαση της ασφάλειας στην περιοχή του Ubuntu Forums. Παίρνουμε την ασφάλεια των πληροφοριών και την προστασία της ιδιωτικής ζωής των χρηστών πολύ σοβαρά, ακολουθούμε ένα αυστηρό σύνολο πρακτικών ασφάλειας και αυτό το περιστατικό έχει προκαλέσει μια ενδελεχή έρευνα.Έχουν ληφθεί διορθωτικά μέτρα και τα forums έχουν αποκατασταθεί. Θα θέλαμε να μοιραστούμε τις λεπτομέρειες της παραβίασης και ποια μέτρα έχουν ληφθεί. Ζητούμε συγγνώμη για την επίθεση και την επακόλουθη ταλαιπωρία.”
Μετά από βαθιά διερεύνηση του περιστατικού, η εταιρεία ανακάλυψε ότι άφησε μια γνωστή SQLi (SQL injection) ευπάθεια unpatched στο Forumrunner add-on στα forum του όπου εκθέτει τα δεδομένα των χρηστών της.
Η SQL injection (SQLi) είναι μια επίθεση που χρησιμοποιείται για την βάζουν τις εντολές του κακόβουλο SQL μέσω των δεδομένων εισόδου από τον πελάτη στην εφαρμογή προκειμένου να παραβιάσει τη βάση δεδομένων και να αποκτήσει πρόσβαση στα προσωπικά δεδομένα του χρήστη.
Η ευπάθεια είναι ένα από τα πιο παλιά, τα πιο ισχυρά και τα πιο επικίνδυνα ελαττώματα που θα μπορούσε να επηρεάσει οποιαδήποτε ιστοσελίδα ή web εφαρμογή που χρησιμοποιεί μια βάση δεδομένων βασισμένη στο SQL.
Αυτό αποδεικνύει για μια ακόμη φορά ότι ο πιο αδύναμος κρίκος στην ασφάλεια εξακολουθεί να είναι οι άνθρωποι.