Drupal : réinitialisation des mots de passe après un hack des comptes utilisateurs
les sites web utilisant le CMS semblent épargnés

L'équipe de Sécurité et l'équipe chargée de l'infrastructure du système de gestion de contenu (CMS) Drupal ont découvert des accès non autorisés aux informations sur des comptes sur Drupal.org et groups.drupal.org.

Le Directeur Exécutif de l'Association Drupal, Holly Ross, s'est chargé de prévenir les utilisateurs par billet blog posté sur le site officiel quant à la fuite d'informations dont ces comptes sont victimes.

Toutefois, précise l'organisation, la brèche dans la sécurité qui a profité aux hackers n'est pas imputable au logiciel Drupal lui même mais incomberait plutôt à un composant tiers installé sur ses serveurs.

Parmi les informations qui ont été dérobées figurent les noms d'utilisateurs, leurs adresses électroniques, des informations relatives à leur pays ainsi que leurs mots de passes hashés.

Holly Ross se veut rassurant et précise que les sites qui s'appuient sur le CMS Drupal semblent, eux, ne pas être affectés par la faille.

Par mesure de sécurité, l'équipe a réinitialisé les mots de passe. Il n'est donc plus possible de se connecter sans passer par la procédure pour en obtenir un nouveau.

Par mesure de prudence, les utilisateurs sont invités à réinitialiser aussi leurs mots de passe sur tous les autres sites où leur combinaison pseudonyme/mot de passe est la même.

Le fournisseur du composant tiers n'a pas été mentionné mais Drupal confie l'avoir déjà averti.

Source : Drupal

Et vous ?

Faites-vous usage de la même combinaison pseudonyme/mot de passe sur plusieurs sites ?