L'équipe de sécurité de drupal.org a publié une note indiquant que le site a été hacké, et que des noms d'utilisateurs, des adresses mail et des mots de passe hashé ont ainsi été dérobés. Aucune information relative à des cartes de crédit n'a été volée.

La vulnérabilité ne résidait pas dans Drupal lui-même, ce qui rassurera ses nombreux utilisateurs. La vulnérabilité résidait dans une application tierce installée sur le serveur de drupal.org. Cette vulnérabilité a été reconnue par l'éditeur de l'application. L'exploit de cette vulnérabilité a permis de déposer des fichiers malicieux sur le serveur. Ces fichiers ont été découverts lors d'un audit de sécurité du serveur.

Drupal.org précise que les mots des utilisateurs du site sont cryptés et salés, ce qui concrètement les rend inutilisables par les pirates. Cependant, certains vieux mots de passe ont pu subsister sur le site sans être salés. Par mesure de précautions drupal.org a réinitialisé tous les mots de passe du site.  

L'identité de l'application tierce vulnérable n'a pour l'instant pas été révélée.