Die offiziellen Ubuntu-Foren wurden gehackt, wie Canonical mitteilt. Die unbekannten Angreifer sollen dabei Benutzernamen, IP-Adressen und E-Mails von zwei Millionen Nutzern heruntergeladen haben. Da Canonical beim Foren-Login auf das hauseigene Ubuntu Single Sign On setzt, sollen die Passwörter nicht dazu gehören.

Die Angreifer sollen zudem keinen Zugriff auf die Ubuntu-Code-Repositories gehabt haben. Die Lücken seien inzwischen beseitigt und der Zugriff auf die Foren ist wieder möglich.

Am 14. Juli wurde laut Canonical das hauseigene Sicherheitsteam darauf hingewiesen, dass jemand eine Kopie der Foren-Datenbank besitze. Im Zusammenhang mit einer SQL-Injection-Lücke in einem Add-On für die Forensoftware vBulletin wurde nach einer Überprüfung eine Sicherheitslücke gefunden und das Forum wurde abgeschaltet.

Nach Angaben des Unternehmens hat Canonical die Passwörter in der Datenbank nur als gehashte und gesalzene Strings gespeichert. Auf die Ubuntu Single Sign On-Passwörter soll ein Zugriff nicht möglich gewesen sein.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE