Al giorno d'oggi, gli hacker sono diventati più sofisticati costringendo le aziende che gestiscono grandi quantità di dati utente (password e nomi utente) a utilizzare muri ben fortificati come mezzo per guidare preziose quantità di dati che vengono memorizzati in server e database.
Nonostante gli enormi sforzi che includono l'investimento di tempo e denaro, gli hacker sembrano sempre trovare scappatoie da sfruttare, come nel caso di una recente esperienza di violazione della sicurezza da parte di Canonical nel suo database del Forum.
Venerdì 14 luglio, il database di Ubuntu Forums è stato compromesso da un hacker che è riuscito ad ottenere un accesso non autorizzato, superando la sicurezza barriere messe in atto per affrontare situazioni come questa.
Canonical ha immediatamente avviato un'indagine per determinare il punto effettivo dell'attacco e la quantità di dati degli utenti compromessi. È stato confermato che qualcuno ha effettivamente ottenuto l'accesso al database del Forum attraverso un attacco avvenuto alle 20:33 UTC del 14 luglio 2016, e l'attaccante è stato in grado di farlo iniettando un certo SQL formattato nei server del database che ospitano i forum di Ubuntu.
“Un'indagine più approfondita ha rivelato che c'era una vulnerabilità nota di SQL injection nel componente aggiuntivo Forumrunner nei forum che non era ancora stato patchato”, ha affermato Jane Silber, CEO di Canonical. "Questo ha dato loro la possibilità di leggere da qualsiasi tabella, ma crediamo che leggano solo dalla tabella 'utente'."
Secondo il rapporto pubblicato su insights.ubuntu.com, gli sforzi dell'aggressore gli hanno consentito di leggere qualsiasi tabella tranne ulteriori indagini portare il team a credere di essere in grado di leggere solo dalla tabella "utente".
Questo accesso ha permesso agli hacker di scaricare una "porzione" della tabella degli utenti che conteneva tutto da nomi utente, indirizzi e-mail e IP appartenenti a oltre due milioni di utenti, ma Canonical ha rassicurato tutti che nessuna password attiva era accesso perché le password memorizzate nella tabella erano stringhe casuali e che i forum di Ubuntu utilizzano quello che viene chiamato "Single Sign On" per gli accessi degli utenti.
Ubuntu Linux
L'aggressore ha scaricato le rispettive stringhe casuali ma, fortunatamente, quelle stringhe erano salate. Per mettere tutti a proprio agio, Canonical ha affermato che l'aggressore non è stato in grado di accedere al repository del codice di Ubuntu, al meccanismo di aggiornamento, a qualsiasi password utente valida o ottenere l'accesso in scrittura SQL remoto al database.
Inoltre, l'aggressore non è stato in grado di accedere a nessuno dei seguenti elementi: l'app Ubuntu Forums, i server front-end o qualsiasi altro servizio Ubuntu o Canonical.
Per prevenire determinate violazioni in futuro, Canonical ha installato ModSecurity sui forum, un Web Application Firewall e migliorato il monitoraggio di vBulletin.