Hackers zijn er in geslaagd om de website van The Apache Software Foundation te hacken, door gebruik te maken van een “simpele” Cross Site Scripting (XSS)-aanval.
Dit meldde de Apache Infrastructure team op zijn blog. Apache, ontwikkelaar van onder andere webservers, werd gehacked doordat er in hun “issue tracker” (software waar developers en gebruikers fouten kunnen verzamelen op één centrale plek) een XSS-injectie mogelijk was. Door gebruik te maken van de dienst TinyURL.com, welke lange URL’s omzet naar kleine, kon niet direct worden gezien dat het in dit geval ging om een XSS-injectie. De XSS-injectie zorgde ervoor dat bepaalde gegevens konden worden gestolen.
Enkele beheerders van de website Apache.org kwamen ook langs om de issue tracker, waardoor de hackers toegang kregen tot het systeem. Op het systeem draaiden ze vervolgens wachtwoord-loggers. Hierdoor konden de hackers uiteindelijk volledige toegang (root-access) krijgen op de server en waardoor ze wachtwoorden van duizenden gebruikers konden stelen. Uiteindelijk kregen de hackers toegang tot een tweede server van Apache.
Zo ziet u, software van derden kunnen niet altijd worden beschouwd als veilig!