The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.11.2017 09:44  Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии

Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей.

Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.

В бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данные из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/execu...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Арестован подозреваемый во взломе kernel.org
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  6. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fsf, backup
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:23, 04/11/2017 [ответить] [смотреть все]
  • +40 +/
    Как ресурс назовешь...
     
     
  • 2.65, Hellraiser, 11:55, 05/11/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    > Как ресурс назовешь...

    нормальное название для ресурса о ДНК Потерринга

     
  • 1.2, iPony, 10:34, 04/11/2017 [ответить] [смотреть все]
  • –4 +/
    За что боролись, на то и напоролись.
     
     
  • 2.43, Аноним, 21:41, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +1 +/
    Они борются против этого.
     
     
  • 3.61, Аноним, 06:37, 05/11/2017 [^] [ответить] [смотреть все]
  • +1 +/
    Они борются против DeRьMa.
     
  • 1.3, AntonAlekseevich, 11:19, 04/11/2017 [ответить] [смотреть все]  
  • +2 +/
    >Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.
    > Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

    Облажались, но извинились.

     
     
  • 2.60, Аноним, 05:06, 05/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Может цитировать будешь всю статью целиком? Чего мелочиться
     
     
  • 3.77, AntonAlekseevich, 22:44, 05/11/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    Знаю что полстатьи выдрал А так согласен чего мелочится на пустяки Только я по... весь текст скрыт [показать]
     
  • 1.4, Аноним, 11:33, 04/11/2017 [ответить] [смотреть все]  
  • +5 +/
    На nginx наверное перешли, а он .htaccess не отрабатывает
     
     
  • 2.25, Аноним, 16:38, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а мозгов-то не завезли ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Zenitur, 11:33, 04/11/2017 [ответить] [смотреть все]  
  • +2 +/
    > 28 тысяч email-адресов

    Так мало людей против DRM.

     
     
  • 2.41, Аноним, 20:56, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –10 +/
    Времена халявы закончились Наступило время цивилизованных рыночных отношений, г... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Аноним, 21:39, 04/11/2017 [^] [ответить] [смотреть все]  
  • +4 +/
    Что-то подскаэывает, что поощрять - это начит донатить И к рыночным отношениям ... весь текст скрыт [показать]
     
     
  • 4.47, Аноним, 22:16, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Не обязательно Слово 171 мебель 187 обозначает сразу категорию, сюда входят... весь текст скрыт [показать]
     
     
  • 5.73, Michael Shigorin, 22:06, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Это Вы про этот строго чОрный шкаф с двумя секциями и больше вообще никак А есл... весь текст скрыт [показать]
     
     
  • 6.82, Аноним, 23:40, 06/11/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Не покупай такой контент - и все В детском саду в рынок не игрался что ли Таки... весь текст скрыт [показать]
     
     
  • 7.83, Michael Shigorin, 14:37, 08/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > Никто тебя не заставляет покупать то, в чем ты не заинтересован.

    Ну то есть дуракам поговорка про кота в мешке не писана, конечно -- но вы здесь исключение.

     
  • 3.48, Карл Спаркс, 22:37, 04/11/2017 [^] [ответить] [смотреть все]  
  • –6 +/
    Плюс к этому, парадигма обладания контентом сегодня всё больше сменяется формой ... весь текст скрыт [показать]
     
     
  • 4.66, DerRoteBaron, 12:58, 05/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Самое страшное, что железо сейчас де-факто тоже приобретается по условиям бесс... весь текст скрыт [показать]
     
  • 3.51, Аноним, 22:50, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Это какое такое отношение имеет DRM к рыночным отношениям Там, помимо борьбы с... весь текст скрыт [показать]
     
  • 3.62, Аноним, 06:42, 05/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Я что-то проспал Йо-хо-хо никто не отменял А DeRьMo - ненужно by design, поско... весь текст скрыт [показать]
     
  • 2.64, freehck, 09:06, 05/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это, как обычно, 5 Активисты ж ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, Аноним, 11:36, 04/11/2017 [ответить] [смотреть все]  
  • –2 +/
    > Drupal

    Они бы ещё Joomla использовали. Детский сад.

     
     
  • 2.10, th3m3, 12:35, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    А что нужно было использовать? Wordpress?)
     
     
  • 3.13, Аноним, 12:51, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    > Wordpress

    Нуу, это уже ясли.

     
     
  • 4.74, Michael Shigorin, 22:07, 05/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    По сравнению с жумлой даже wp ещё полбеды ... весь текст скрыт [показать]
     
  • 3.14, YetAnotherOnanym, 13:45, 04/11/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    То есть, кроме Drupal, Joomla и Wordpress Вы никаких других CMS не знаете.
     
     
  • 4.16, Аноним, 14:10, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Назови свободные, достойные, надежные. Давай.
     
     
  • 5.18, Аноним, 14:20, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    в принципе, можно пропустить первые два списка Назовите кто-нибудь хотя бы наде... весь текст скрыт [показать]
     
     
  • 6.23, Аноним, 15:07, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    GRAV
     
  • 6.46, EHLO, 22:07, 04/11/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    >Назовите кто-нибудь хотя бы надежные.

    Mediawiki, Foswiki.

     
  • 5.20, KonstantinB, 14:30, 04/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Любой генератор статики подойдет Jekyll, Hugo, и т д Конечно, это не всегда го... весь текст скрыт [показать]
     
     
  • 6.30, выбрал, 17:32, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    и как мы будем добавлять комментарии и лайки к статьям базу которых, вместе с а... весь текст скрыт [показать]
     
     
  • 7.32, Аноним, 17:55, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Disqus
     
     
  • 8.38, вы.ал, 19:59, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    ну то есть переложим ответственность на дядю, который все сделает за нас оно ту... весь текст скрыт [показать]
     
  • 7.57, KonstantinB, 03:02, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    А так ли уж нужна для комментариев хранить емейлы и, тем более, IP-адреса Может... весь текст скрыт [показать]
     
     
  • 8.80, выбрал, 00:32, 06/11/2017 [^] [ответить] [смотреть все]  
  • +/
    ну если хочется только беспомощно наблюдать как тоннами появляются спаммерские в... весь текст скрыт [показать]
     
  • 7.58, KonstantinB, 03:09, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Более того, вполне возможно, что комментарии там и не очень-то нужны, и их вк... весь текст скрыт [показать]
     
  • 5.22, анон, 14:47, 04/11/2017 [^] [ответить] [смотреть все]  
  • –4 +/
    django
     
     
  • 6.24, Аноним, 16:36, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    угу, угу, никогда не было и вот опять https access redhat com errata RHSA-201... весь текст скрыт [показать]
     
  • 5.26, YetAnotherOnanym, 16:56, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    На, выбирай сам - https en wikipedia org wiki List_of_content_management_syste... весь текст скрыт [показать]
     
     
  • 6.29, выбрал, 17:30, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    о, вот эта точно надежная https en wikipedia org wiki Umbraco https en wik... весь текст скрыт [показать]
     
  • 4.36, лютый жабист__, 19:07, 04/11/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Cms это вообще понятие из убогого мира писателей на голом пыхе Если используешь... весь текст скрыт [показать]
     
     
  • 5.67, Аноним, 14:58, 05/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Как там апач-спрут поживает Все уже лейкопластырем замотались ... весь текст скрыт [показать]
     
     
  • 6.69, лютый жабист__, 16:22, 05/11/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    Взял самое решетище, доказал сам себе что все фреймворки дырявые? Молодца
     
  • 2.40, demimurych, 20:33, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    толсто
     
  • 1.9, anomymous, 12:12, 04/11/2017 [ответить] [смотреть все]  
  • +6 +/
    Drupal
    Defective by Design
     
  • 1.11, Аноним, 12:38, 04/11/2017 [ответить] [смотреть все]  
  • +3 +/
    Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской И... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 14:21, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    drupal ... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, iPony, 17:04, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    У меня другой вопрос возник. А вообще зачем надо было эти данные хранить?
     
     
  • 3.31, Big Brother, 17:35, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    I m watching at you http www opennet ru iPony и да, суслик не виден, но тво... весь текст скрыт [показать]
     
     
  • 4.49, Зе Биг Аноним, 22:44, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    А мои храните А так, там может хранение ip адресов использовалось для защиты от... весь текст скрыт [показать]
     
  • 4.68, Аноним, 14:59, 05/11/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Скажи мне мой адрес, бро ... весь текст скрыт [показать]
     
  • 1.15, YetAnotherOnanym, 13:49, 04/11/2017 [ответить] [смотреть все]  
  • +/
    Это не те красавчики, которые на карте мира надпись "Defective By Design" разместили поверх России?
     
     
  • 2.21, Кек, 14:43, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Я надеюсь эту карту нашли и запретили?
     
     
  • 3.28, Аноним, 17:21, 04/11/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Разумеетя. Мизулина, Милонов и Яровая. Независимо друг от друга.
     
     
  • 4.56, Аноним, 00:09, 05/11/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Таки обошлись без Шигорина?
     
     
  • 5.76, Michael Shigorin, 22:10, 05/11/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    > Таки обошлись без Шигорина?

    АПВС?

     
     
  • 6.78, Аноним, 00:05, 06/11/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    АПВС 8212 аббревиатура от 171 А почему поцчему вы спрашиваете 187 , пон... весь текст скрыт [показать]
     
  • 3.35, YetAnotherOnanym, 18:46, 04/11/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Судя по тому, что даже на archive org только исправленный вариант https web a... весь текст скрыт [показать]
     
     
  • 4.63, Аноним, 06:45, 05/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Или это прохладная от анонима и ничего этого не было, на самом деле.
     
  • 2.75, Michael Shigorin, 22:10, 05/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Написал, поправили ... весь текст скрыт [показать] [показать ветку]
     
  • 1.39, Аноним, 20:15, 04/11/2017 [ответить] [смотреть все]  
  • +/
    Ну, это то, им зачем ... весь текст скрыт [показать]
     
     
  • 2.44, Аноним, 21:44, 04/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Действительно, зачем они это вообще сохраняли?
     
     
  • 3.45, Аноним, 22:02, 04/11/2017 [^] [ответить] [смотреть все]  
  • +/
    Наверняка хотели владеть всем миром Но забыли про dev null ... весь текст скрыт [показать]
     
  • 1.55, Аноним, 23:53, 04/11/2017 [ответить] [смотреть все]  
  • +/
    Как-то всё не романтично. Прототип айфон хотя бы в баре забывали.
     
     
  • 2.81, Аноним, 21:22, 06/11/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У меня стойкое подозрение, что кто-то тут проплаченный рекламист яблок.
     
  • 1.59, Аноним, 03:58, 05/11/2017 [ответить] [смотреть все]  
  • +1 +/
    https://www.cmscritic.com/awards/
     
  • 1.84, Аноним, 21:03, 09/11/2017 [ответить] [смотреть все]     [к модератору]  
  • +/
    Надеюсь Druapl уже обгадили, а то не хотелось бы еще раз напоминать что PHP и пр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor