The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.11.2017 09:44  Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии

Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей.

Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.

В бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данные из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/execu...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Арестован подозреваемый во взломе kernel.org
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  6. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: fsf, backup
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 10:23, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +40 +/
    Как ресурс назовешь...
     
     
  • 2.65, Hellraiser (??), 11:55, 05/11/2017 [^] [ответить]    [к модератору]
  • +3 +/
    > Как ресурс назовешь...

    нормальное название для ресурса о ДНК Потерринга

     
  • 1.2, iPony (?), 10:34, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    За что боролись, на то и напоролись.
     
     
  • 2.43, Аноним (-), 21:41, 04/11/2017 [^] [ответить]    [к модератору]
  • +1 +/
    Они борются против этого.
     
     
  • 3.61, Аноним (-), 06:37, 05/11/2017 [^] [ответить]    [к модератору]
  • +1 +/
    Они борются против DeRьMa.
     
  • 1.3, AntonAlekseevich (ok), 11:19, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.
    > Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

    Облажались, но извинились.

     
     
  • 2.60, Аноним (-), 05:06, 05/11/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Может цитировать будешь всю статью целиком? Чего мелочиться
     
     
  • 3.77, AntonAlekseevich (ok), 22:44, 05/11/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    > Может цитировать будешь всю статью целиком? Чего мелочиться

    Знаю что полстатьи выдрал. А так согласен чего мелочится на пустяки. Только я пока ещё в своем уме и себе не позволю выдрать больше.

     
  • 1.4, Аноним (-), 11:33, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    На nginx наверное перешли, а он .htaccess не отрабатывает
     
     
  • 2.25, Аноним (-), 16:38, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > На nginx наверное перешли, а он .htaccess не отрабатывает

    а мозгов-то не завезли

     
  • 1.5, Zenitur (ok), 11:33, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > 28 тысяч email-адресов

    Так мало людей против DRM.

     
     
  • 2.41, Аноним (-), 20:56, 04/11/2017 [^] [ответить]     [к модератору]  
  • –10 +/
    Времена халявы закончились Наступило время цивилизованных рыночных отношений, г... весь текст скрыт [показать]
     
     
  • 3.42, Аноним (-), 21:39, 04/11/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Что-то подскаэывает, что поощрять - это начит донатить. И к рыночным отношениям и DRM это отношения не имеет.
     
     
  • 4.47, Аноним (-), 22:16, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Что-то подсказывает, что мебель — это значит шкаф с двумя секциями

    Не обязательно. Слово «мебель» обозначает сразу категорию, сюда входят не только шкафы с двумя секциями.

     
     
  • 5.73, Michael Shigorin (ok), 22:06, 05/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Это Вы про этот строго чОрный шкаф с двумя секциями и больше вообще никак А есл... весь текст скрыт [показать]
     
     
  • 6.82, Аноним (-), 23:40, 06/11/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Не покупай такой контент - и все В детском саду в рынок не игрался что ли Таки... весь текст скрыт [показать]
     
     
  • 7.83, Michael Shigorin (ok), 14:37, 08/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Никто тебя не заставляет покупать то, в чем ты не заинтересован.

    Ну то есть дуракам поговорка про кота в мешке не писана, конечно -- но вы здесь исключение.

     
  • 3.48, Карл Спаркс (?), 22:37, 04/11/2017 [^] [ответить]     [к модератору]  
  • –6 +/
    Плюс к этому, парадигма обладания контентом сегодня всё больше сменяется формой ... весь текст скрыт [показать]
     
     
  • 4.66, DerRoteBaron (?), 12:58, 05/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Самое страшное, что железо сейчас де-факто тоже приобретается по условиям бесс... весь текст скрыт [показать]
     
  • 3.51, Аноним (-), 22:50, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Это какое такое отношение имеет DRM к рыночным отношениям? Там, помимо "борьбы с пиратством", ещё и ограничение конкуренции во всю степь.
     
  • 3.62, Аноним (-), 06:42, 05/11/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Я что-то проспал Йо-хо-хо никто не отменял А DeRьMo - ненужно by design, поско... весь текст скрыт [показать]
     
  • 2.64, freehck (ok), 09:06, 05/11/2017 [^] [ответить]    [к модератору]  
  • +/
    >> 28 тысяч email-адресов
    > Так мало людей против DRM.

    Это, как обычно, 5%.
    Активисты ж.

     
     ....нить скрыта, показать (11)

  • 1.6, Аноним (-), 11:36, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > Drupal

    Они бы ещё Joomla использовали. Детский сад.

     
     
  • 2.10, th3m3 (ok), 12:35, 04/11/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    А что нужно было использовать? Wordpress?)
     
     
  • 3.13, Аноним (-), 12:51, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Wordpress

    Нуу, это уже ясли.

     
     
  • 4.74, Michael Shigorin (ok), 22:07, 05/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >> Wordpress
    > Нуу, это уже ясли.

    По сравнению с жумлой даже wp ещё полбеды...

     
  • 3.14, YetAnotherOnanym (ok), 13:45, 04/11/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    То есть, кроме Drupal, Joomla и Wordpress Вы никаких других CMS не знаете.
     
     
  • 4.16, Аноним (-), 14:10, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Назови свободные, достойные, надежные. Давай.
     
     
  • 5.18, Аноним (-), 14:20, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Назови свободные, достойные, надежные. Давай.

    в принципе, можно пропустить первые два списка.
    Назовите кто-нибудь хотя бы надежные.

     
     
  • 6.23, Аноним (-), 15:07, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    GRAV
     
  • 6.46, EHLO (?), 22:07, 04/11/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    >Назовите кто-нибудь хотя бы надежные.

    Mediawiki, Foswiki.

     
  • 5.20, KonstantinB (ok), 14:30, 04/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Любой генератор статики подойдет. Jekyll, Hugo, и т.д.

    Конечно, это не всегда годится, но вот на упомянутом сайтике никакого интерактива нет, сплошные блоги-статьи.

     
     
  • 6.30, выбрал (?), 17:32, 04/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    и как мы будем добавлять комментарии и лайки к статьям базу которых, вместе с а... весь текст скрыт [показать]
     
     
  • 7.32, Аноним (-), 17:55, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Disqus
     
     
  • 8.38, вы.ал (?), 19:59, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Disqus

    ну то есть переложим ответственность на дядю, который все сделает за нас?

    оно тут, кстати, надысь подтупило, с довольно интересными последствями для неаккуратно его пользующих.

     
  • 7.57, KonstantinB (ok), 03:02, 05/11/2017 [^] [ответить]     [к модератору]  
  • +/
    А так ли уж нужна для комментариев хранить емейлы и, тем более, IP-адреса Может... весь текст скрыт [показать]
     
     
  • 8.80, выбрал (?), 00:32, 06/11/2017 [^] [ответить]     [к модератору]  
  • +/
    ну если хочется только беспомощно наблюдать как тоннами появляются спаммерские в... весь текст скрыт [показать]
     
  • 7.58, KonstantinB (ok), 03:09, 05/11/2017 [^] [ответить]     [к модератору]  
  • +/
    Более того, вполне возможно, что комментарии там и не очень-то нужны, и их вк... весь текст скрыт [показать]
     
  • 5.22, анон (?), 14:47, 04/11/2017 [^] [ответить]    [к модератору]  
  • –4 +/
    django
     
     
  • 6.24, Аноним (-), 16:36, 04/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    угу, угу, никогда не было и вот опять https access redhat com errata RHSA-201... весь текст скрыт [показать]
     
  • 5.26, YetAnotherOnanym (ok), 16:56, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    На, выбирай сам - https://en.wikipedia.org/wiki/List_of_content_management_systems - а то я не знаю твоих критериев свободы, достоинства и надёжности.
     
     
  • 6.29, выбрал (?), 17:30, 04/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    о, вот эта точно надежная https en wikipedia org wiki Umbraco https en wik... весь текст скрыт [показать]
     
  • 4.36, лютый жабист__ (?), 19:07, 04/11/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Cms это вообще понятие из убогого мира писателей на голом пыхе. Если используешь mvcшный фреймворк, тебе cms и даром не нужен. А недырявые фреймворки есть
     
     
  • 5.67, Аноним (-), 14:58, 05/11/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Как там апач-спрут поживает Все уже лейкопластырем замотались ... весь текст скрыт [показать]
     
     
  • 6.69, лютый жабист__ (?), 16:22, 05/11/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    Взял самое решетище, доказал сам себе что все фреймворки дырявые? Молодца
     
  • 2.40, demimurych (ok), 20:33, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    толсто
     
     ....нить скрыта, показать (23)

  • 1.9, anomymous (?), 12:12, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Drupal
    Defective by Design
     
  • 1.11, Аноним (-), 12:38, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской? Интересно, кто админит их сервера?
     
     
  • 2.19, Аноним (-), 14:21, 04/11/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    > Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской?
    > Интересно, кто админит их сервера?

    drupal.


     
  • 2.27, iPony (?), 17:04, 04/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    У меня другой вопрос возник. А вообще зачем надо было эти данные хранить?
     
     
  • 3.31, Big Brother (?), 17:35, 04/11/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > У меня другой вопрос возник. А вообще зачем надо было эти данные
    > хранить?

    I'm watching at you!
    https://www.opennet.ru/~iPony

    (и да, суслик не виден, но твои адреса мы тоже храним)

     
     
  • 4.49, Зе Биг Аноним (?), 22:44, 04/11/2017 [^] [ответить]     [к модератору]  
  • +/
    А мои храните А так, там может хранение ip адресов использовалось для защиты от... весь текст скрыт [показать]
     
  • 4.68, Аноним (-), 14:59, 05/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > (и да, суслик не виден, но твои адреса мы тоже храним)

    Скажи мне мой адрес, бро?

     
  • 1.15, YetAnotherOnanym (ok), 13:49, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это не те красавчики, которые на карте мира надпись "Defective By Design" разместили поверх России?
     
     
  • 2.21, Кек (?), 14:43, 04/11/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Я надеюсь эту карту нашли и запретили?
     
     
  • 3.28, Аноним (-), 17:21, 04/11/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    Разумеетя. Мизулина, Милонов и Яровая. Независимо друг от друга.
     
     
  • 4.56, Аноним (-), 00:09, 05/11/2017 [^] [ответить]    [к модератору]  
  • +2 +/
    Таки обошлись без Шигорина?
     
     
  • 5.76, Michael Shigorin (ok), 22:10, 05/11/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Таки обошлись без Шигорина?

    АПВС?

     
     
  • 6.78, Аноним (-), 00:05, 06/11/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    АПВС 8212 аббревиатура от 171 А почему поцчему вы спрашиваете 187 , пон... весь текст скрыт [показать]
     
  • 3.35, YetAnotherOnanym (ok), 18:46, 04/11/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Судя по тому, что даже на archive org только исправленный вариант https web a... весь текст скрыт [показать]
     
     
  • 4.63, Аноним (-), 06:45, 05/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Или это прохладная от анонима и ничего этого не было, на самом деле.
     
  • 2.75, Michael Shigorin (ok), 22:10, 05/11/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    > Это не те красавчики, которые на карте мира надпись "Defective By Design"
    > разместили поверх России?

    Написал, поправили.

     
  • 1.39, Аноним (-), 20:15, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > включая IP-адреса авторов комментариев, номера телефонов

    Ну, это то, им зачем?

     
     
  • 2.44, Аноним (-), 21:44, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    Действительно, зачем они это вообще сохраняли?
     
     
  • 3.45, Аноним (-), 22:02, 04/11/2017 [^] [ответить]    [к модератору]  
  • +/
    > Действительно, зачем они это вообще сохраняли?

    Наверняка хотели владеть всем миром ;) Но забыли про /dev/null :(

     
  • 1.55, Аноним (-), 23:53, 04/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как-то всё не романтично. Прототип айфон хотя бы в баре забывали.
     
     
  • 2.81, Аноним (-), 21:22, 06/11/2017 [^] [ответить]    [к модератору]  
  • +/
    У меня стойкое подозрение, что кто-то тут проплаченный рекламист яблок.
     
  • 1.59, Аноним (-), 03:58, 05/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    https://www.cmscritic.com/awards/
     
  • 1.84, Аноним (-), 21:03, 09/11/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Надеюсь Druapl уже обгадили, а то не хотелось бы еще раз напоминать что PHP и продукты на нем ...ище.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor