In deze tijd zijn hackers geavanceerder geworden en dwingen ze bedrijven die grotere hoeveelheden gebruikersgegevens verwerken (wachtwoorden en gebruikersnamen) om goed versterkte muren te gebruiken als middel om waardevolle hoeveelheden gegevens te geleiden opgeslagen in servers en databases.
Ondanks enorme inspanningen, waaronder de investering van tijd en geld, lijken hackers altijd mazen in de wet te vinden om te misbruiken, zoals het geval was bij een recente inbreuk op de beveiliging door Canonical in de Forum-database.
Op vrijdag 14 juli werd de Ubuntu-forums-database gecompromitteerd door een hacker die erin slaagde ongeautoriseerde toegang te krijgen en de beveiliging te omzeilen barrières opgeworpen om met dit soort situaties om te gaan.
Canonical startte onmiddellijk een onderzoek om vast te stellen wat het daadwerkelijke punt van de aanval was en hoeveel gebruikersgegevens er waren gelekt. Er werd bevestigd dat iemand inderdaad toegang heeft gekregen tot de database van het forum via een aanval die plaatsvond om 20:33 UTC op 14 juli 2016, en de aanvaller kon dit doen door bepaalde geformatteerde SQL te injecteren in de databaseservers waarop de Ubuntu-forums zijn ondergebracht.
“Dieper onderzoek bracht aan het licht dat er een bekende SQL-injectie-kwetsbaarheid was in de Forumrunner-add-on in de Forums die nog niet was gepatcht”, aldus Jane Silber, CEO van Canonical. "Hierdoor konden ze uit elke tabel lezen, maar we denken dat ze alleen lezen uit de 'gebruikers'-tabel."
Volgens het rapport op insights.ubuntu.com gaven de inspanningen van de aanvaller hem toegang tot lezen van elke tafel, behalve verder onderzoek het team laten geloven dat ze alleen konden lezen van de "gebruiker"-tabel.
Deze toegang stelde de hackers in staat een "gedeelte" van de gebruikerstabel te downloaden dat alles bevatte van gebruikersnamen, e-mailadressen en IP's van meer dan twee miljoen gebruikers, maar Canonical verzekerde iedereen dat er geen actieve wachtwoorden waren toegankelijk omdat de wachtwoorden die in de tabel zijn opgeslagen, willekeurige tekenreeksen waren en omdat de Ubuntu-forums de zogenaamde "Single Sign On" gebruiken voor gebruikersaanmeldingen.
Ubuntu Linux
De aanvaller heeft de respectievelijke willekeurige strings gedownload, maar gelukkig zijn die strings gezouten. Om iedereen op zijn gemak te stellen, zei Canonical dat de aanvaller geen toegang had tot de Ubuntu-coderepository, het updatemechanisme, een geldig gebruikerswachtwoord of externe SQL-schrijftoegang tot de database.
Bovendien kon de aanvaller geen toegang krijgen tot het volgende: Ubuntu Forums-app, de front-endservers of andere Ubuntu- of Canonical-services.
Om bepaalde inbreuken in de toekomst te voorkomen, installeerde Canonical ModSecurity op de forums, een Web Application Firewall en verbeterde de monitoring van vBulletin.