LINUX.ORG.RU

FSF рассказал об ошибке, которая привела к утечке данных

 


2

3

В среду, 25 октября, мы (FSF — прим. переводчика) получили электронное письмо, сообщающее нам, что старый файл резервной копии базы данных Drupal стал общедоступным на сайте defectivebydesign.org, основанном Free Software Foundation. Этот файл резервной копии содержит контактную информацию и другие данные, накопленные за 2007—2012 года, которые не должны быть общедоступными.

В течение нескольких минут после получения отчета мы удалили файл и начали проверку defectivebydesign.org и остальных наших сайтов. Файл не содержал никаких паролей или их хэшей, финансовой информации, почтовых адресов или информации о пользователях, которые взаимодействовали с сайтом без регистрации.

В пятницу, 27 октября, как только мы были достаточно уверены, что мы поняли масштаб проблемы и устранили самые насущные проблемы; мы отправили уведомление по электронной почте на каждый адрес, который был в файле резервной копии базы данных. Мы объяснили, что произошло, взяли на себя ответственность и извинились.

Если вы не получили такое электронное письмо, ваш адрес не находился в открытом файле.

В файле были (как из профилей пользователей, так и из спам‐ботов):

  • ≈28 000 адресов электронной почты;
  • имена контактов;
  • некоторые IP‐адреса, связанные с комментариями к сообщениям;
  • ≈120 номеров телефонов.

Хотя часть этой информации была для пользователей изначально публичной, некоторая часть оставалась приватной.

Я (John Sullivan — прим. переводчика) и остальные сотрудники FSF очень сожалеем об этой ошибке. Мы знаем, насколько важна конфиденциальность наших сторонников; мы каждый день сражаемся от вашего имени против ограничительных технологий, которые угрожают вам. Мы также не считаем за благо скрывать свои ошибки, поэтому решили как можно скорее поставить в известность всех, кого это коснулось.

Несмотря на то, что мы небольшая команда, такая ошибка абсолютно неприемлема. С 2012 года мы значительно улучшили наши методы обеспечения безопасности, и в свете этой неудачи мы будем глубже смотреть на то, что ещё нам нужно делать.

Я также хотел бы поделиться некоторыми техническими подробностями о том, что произошло, потому что всего за несколько минут поиска мы нашли других, которые совершают ту же ошибку, что и мы.

Резервная копия базы данных Drupal defectivebydesign.org была сделана с помощью модуля backup-migrate в 2012 году, что, вероятно, должно было помочь перенести сайт на новый хост. Мы не смогли удалить или перенести этот файл.

В 2014 году, или за некоторое время до этого, имя каталога нашей установки Drupal было вручную изменено в рамках обновления. Однако мы не обновили часть нашей конфигурации Apache, которая активировала файлы .htaccess для определенных каталогов. Файл .htaccess Drupal обычно скрывает файлы путём запрета доступа к содержимому директорий. Сайт работал нормально, несмотря на отключенный файл .htaccess, потому что наша основная конфигурация Apache содержала функциональность, обычно выполняемую этим файлом. Также по нашей оплошности не хватало и другого файла .htaccess, который бы полностью отключал доступ к резервной копии. В результате бекап остался открытым.

В документации для backup-migrate есть «ОЧЕНЬ ВАЖНОЕ ЗАМЕЧАНИЕ БЕЗОПАСНОСТИ», указывающее, что «„резервное копирование“ и „миграция“ пытается защитить бекапы с помощью файла .htaccess», о чём мы успешно забыли.

В настоящее время мы не используем этот модуль и вместо этого создаем резервную копию сайта как часть наших глобальных процедур резервного копирования. Мы рассматриваем и улучшаем несколько других политик и процедур, чтобы избежать повторения подобных ошибок и обнаружить их, если они будут сделаны. Это включает, например, удаление персональных данных с сайтов, на которых мы больше не используем или нуждаемся в них

Спасибо всем за вашу поддержку и доверие. Если у вас есть опыт в администрировании систем и вы готовы помогать нам на добровольных началах, пожалуйста, свяжитесь с нами по адресу sysadmin@gnu.org.

>>> Подробности



Проверено: JB ()
Последнее исправление: cetjs2 (всего исправлений: 6)
Ответ на: комментарий от ZenitharChampion

противник

Скорее продавцы мясных консерв. Хотя, конечно, хороший спамер — мёртвый спамер.

h578b1bde ★☆
()
Ответ на: комментарий от d_a

Вот. А на лоре за 20 лет ни одного слива ПД! ... Ну, правда же? Anyone?

А они тут есть?

AnonymousTORCoward
()
Ответ на: комментарий от Napilnik

Такие у нас в линуксах архиваторы, раз чуть более сложную задачу ими выполнить проблема

Проясни вопрос: зачем шифровать архиватором? Почему нельзя взять другой инструмент?

NextGenenration ★★
()
Ответ на: комментарий от d_a

Вот. А на лоре за 20 лет ни одного слива ПД! ... Ну, правда же? Anyone?

Так и есть, Неуловимого Джо не дано поймать никому!

segfault ★★★★★
()

Нет регистрации - нет проблем.

anonymous
()

В документации для backup-migrate есть «ОЧЕНЬ ВАЖНОЕ ЗАМЕЧАНИЕ БЕЗОПАСНОСТИ», указывающее, что «„резервное копирование“ и „миграция“ пытается защитить бекапы с помощью файла .htaccess», о чём мы успешно забыли

Молодцы конечно, что признались... Но вообще у меня сложилось такое впечатление с 2017 года уязвимостей, что «пингвины» расжирели и стали неповоротливы - и на безопасность вдруг всем стало почти пофиг. Чем бы только не заниматься, но не будут делать аудит того что уже есть - хоть сайтов хоть софта

SakuraKun ★★★★★
()
Ответ на: комментарий от d_a

Кстати, ЛОР уже перестал хранить пароли нехэшированным плейнтекстом?

muon ★★★★
()

да уж. а 95% сливают такую инфу открыто в интернет и гордо называют с3.14зженные данные бигдатой.
например, вот
https://geektimes.ru/post/283188/

darkenshvein ★★★★★
()

Читайте новости из первоисточников

Старайтесь сводить к минимуму чтение русскоязычных руководств, форумов по Linux.

Desmond_Hume ★★★★★
()

Костюмы зверюшек не скоммуниздили случаем? А то как теперь рекламную кампанию проводить, в морду узнают.

Deleted
()
Ответ на: комментарий от SakuraKun

Но вообще у меня сложилось такое впечатление с 2017 года уязвимостей, что «пингвины» расжирели и стали неповоротливы - и на безопасность вдруг всем стало почти пофиг. Чем бы только не заниматься, но не будут делать аудит того что уже есть

Да какой там аудит, тут уже пришло время переписать всё с нуля ибо stable API is nonsense. Ещё и плазма почти перестала падать, а значит пора перепиливать кеды под очередные культи, в то время как гномоводы усиленными темпами выпиливают всё подряд из своей поделки для дебильников и запиливают эмодзи для хипсторов, готовясь максимально кастрировать гном к выходу нового GIMP ToolKit, пока сам GIMP ещё барахтается на единственно адекватной второй версии. А тут ещё глючный и непредсказуемый системгэ вместе с инновационным сырым вейландом подоспел как раз кстати, пока внуки разработчиков иксов с помощью шаманской пляски и какой-то матери таки учатся иногда запускать их без рута. В общем, всё как обычно.

h578b1bde ★☆
()

Так умирают мифы.

Deleted
()
Ответ на: комментарий от darkenshvein

да? вот тото жы мой в джид лоровский боты спам серют

Лол, что-то вспомнились фанатики жабера образца 2010 года, на каждом углу кукарекавшие что в их неуловимом Джо спама нет, мол асечный антиспам нинужен.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от h578b1bde

Вообще забавно почитать комменты того времени, где предсказывающие нынешнюю ситуацию с массовыми рассылками спама в жабере заминусованы. Вкратце, на примере отдельно взятого хабра это всё что нужно знать о сообществах с плюсами, лайками и рейтингами, состоящих преимущественно из фанатиков и некомпетентных дебилов.

h578b1bde ★☆
()
Последнее исправление: h578b1bde (всего исправлений: 1)
Ответ на: комментарий от darkenshvein

вот ты прямо щас скайп описал.

Там уже есть плюсы, лайки и рейтинги?

h578b1bde ★☆
()
Ответ на: комментарий от next_time

1. Пример не вполне корректен, поскольку взлом совсем другого типа.

2. Даже если бы пример был верным, где там яббл говорит, что это в порядке вещей?

AP ★★★★★
()
Ответ на: комментарий от AP

1. Вероятно, причиной утечки стала уязвимость в сервисе iCloud, синхронизирующем фотографии с iPhone[2],

2. «хотя Apple опровергает взлом iCloud» сферическое лицемерие проприетарщиков в вакууме

https://ru.wikipedia.org/wiki/Массовый_взлом_аккаунтов_iCloud

next_time ★★★★★
()

defectivebydesign

старый файл резервной копии базы данных Drupal стал общедоступным

ЫЫЫЫЫ.

WereFox ★☆
()
Ответ на: комментарий от next_time

2. Даже если бы пример был верным, где там яббл говорит, что это в порядке вещей?

2. «хотя Apple опровергает взлом iCloud» сферическое лицемерие проприетарщиков в вакууме

«В порядке вещей» и «Опровергает взлом» — это теперь одно и то же? Совсем у швабодчиков головка бо-бо.

WereFox ★☆
()
Ответ на: комментарий от next_time

По твоей же ссылке в самом начале статьи:

По обновленной информации, дело вовсе не в iCloud! Слиты также фотографии пользователей Android.

WereFox ★☆
()
Ответ на: комментарий от next_time

Эммм... Эта статья ни о чём. Открой англоязычную версию, там намного больше и совсем не то, что ты думаешь.

AP ★★★★★
()
Ответ на: комментарий от NextGenenration

Проясни вопрос: зачем шифровать архиватором? Почему нельзя взять другой инструмент?

Отлично справляется, не требует долгого изучения, умеет лепить мелочь в более крупные куски, что облегчает их перемещение. Если усб медленный, то быстрое пожатие гига-другого мелких файлов ускоряет их через него перенос, проверено. Потому архиватор для таких операций инструмент привычный и отлаженный. Если при этом ещё и зашифровать, то потребуется минимум файловых операций.

Napilnik ★★★★★
()
Ответ на: комментарий от AP

там всё тоже самое

but it later turned out that the hackers could have taken advantage of a security issue in the iCloud API which allowed them to make unlimited attempts at guessing victims' passwords

Apple later reported that the victims' iCloud account information was obtained using «a very targeted attack on user names, passwords and security questions», such as phishing

next_time ★★★★★
()
Ответ на: комментарий от next_time

Чувак, я столько насмотрелся на всякий разный фишинг и количество данных, которые были им натырены, что могу тебе точно сказать — дело не в дверях, а в мозгах. Пользователей. А тут ещё местами мусолят новость, как миллион баранов скачали левое приложение под видом обновления whatsapp.

WereFox ★☆
()
Ответ на: комментарий от Napilnik

Такие у нас в линуксах архиваторы

В линукса с дискет ставите? Откройте для себя мир интернета и в ваших линуксах все наладится.

A-234 ★★★★★
()
Ответ на: комментарий от Napilnik

И что хорошо в «проклятой проприетарщине», пароль можно написать в комментарии архива - человек его прочитает, а программы этим не заморачиваются.

Спасибо, что подсказал, добрый человек!

// Пошёл патчить своего бота для чтения чужих архивов.

anonymous
()
Ответ на: комментарий от darkenshvein

джид лоровский

Я что-то пропустил? С лор-аккаунта теперь можно в джаббере сидеть?

anonymous
()
Ответ на: комментарий от AP

Yahoo, Sony, EBay, Equifax. И утекали не телефонные номера а кредитки, номера социального страхования и дохрена всего еще.

A-234 ★★★★★
()
Ответ на: комментарий от Napilnik

Если при этом ещё и зашифровать, то потребуется минимум файловых операций.

...и? Пайпы пользовать религия не позволяет? Всё делается одной строкой, все инструменты - стандартные.

anonymous
()
Ответ на: комментарий от Napilnik

Если усб медленный, то быстрое пожатие гига-другого мелких файлов ускоряет их через него перенос, проверено.

Угу, используем tar (без gz), выхлоп в той же строке отправляем в gpg. Что тут «требует долгого изучения»?

Я не против WinRar, он писался под калечный DOS/Windows, где вместо баша до последнего времени были только увечные батники. А в нормальных системах для того же применяются другие инструменты и другие подходы.

anonymous
()

Так вот как крестоносцы Усаму Бен Ладена выследили...

AVL2 ★★★★★
()
Ответ на: комментарий от next_time

по версии яблока, да

Я не яблофанатик, но с чего бы мне голословным заявлениям лоровского аналитика доверять больше чем официальной версии яблока?

h578b1bde ★☆
()
Ответ на: комментарий от next_time

там по ссылкам пруфы

Court documents from 2014 indicated that one user created a fake email account called «appleprivacysecurity» to ask celebrities for security information.

Ок.

h578b1bde ★☆
()
Ответ на: комментарий от A-234

Про первые три не помню, а Эквифакс точно не говорил, что взлом — обычное дело. Они тупили с выкатыванием фиксов и вообще долго запрягали — это да.

AP ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.