The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии

04.11.2017 09:44

Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей.

Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.

В бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данные из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

  1. Главная ссылка к новости (http://www.fsf.org/blogs/execu...)
  2. OpenNews: Инфраструктура проекта Jenkins, возможно, подверглась взлому
  3. OpenNews: Взломан официальный форум проекта Ubuntu
  4. OpenNews: Арестован подозреваемый во взломе kernel.org
  5. OpenNews: Второй взлом инфраструктуры BitTorrent-клиента Transmission
  6. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47501-fsf
Ключевые слова: fsf, backup
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (69) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:23, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +40 +/
    Как ресурс назовешь...
     
     
  • 2.65, Hellraiser (??), 11:55, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как ресурс назовешь...

    нормальное название для ресурса о ДНК Потерринга

     

  • 1.2, iPony (?), 10:34, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    За что боролись, на то и напоролись.
     
     
  • 2.43, Аноним (-), 21:41, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они борются против этого.
     
     
  • 3.61, Аноним (-), 06:37, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они борются против DeRьMa.
     

  • 1.3, AntonAlekseevich (ok), 11:19, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.
    > Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

    Облажались, но извинились.

     
     
  • 2.60, Аноним (-), 05:06, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Может цитировать будешь всю статью целиком? Чего мелочиться
     
     
  • 3.77, AntonAlekseevich (ok), 22:44, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Может цитировать будешь всю статью целиком? Чего мелочиться

    Знаю что полстатьи выдрал. А так согласен чего мелочится на пустяки. Только я пока ещё в своем уме и себе не позволю выдрать больше.

     

  • 1.4, Аноним (-), 11:33, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    На nginx наверное перешли, а он .htaccess не отрабатывает
     
     
  • 2.25, Аноним (-), 16:38, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > На nginx наверное перешли, а он .htaccess не отрабатывает

    а мозгов-то не завезли

     

  • 1.5, Zenitur (ok), 11:33, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > 28 тысяч email-адресов

    Так мало людей против DRM.

     
     
  • 2.41, Аноним (-), 20:56, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Времена халявы закончились. Наступило время цивилизованных рыночных отношений, где авторов, для производства нового контента, нужно поощрять. Если поощрять желания нет, значит контент не нравится, и покупать его не нужно (равно как и иметь к нему доступ).
     
     
  • 3.42, Аноним (-), 21:39, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Что-то подскаэывает, что поощрять - это начит донатить. И к рыночным отношениям и DRM это отношения не имеет.
     
     
  • 4.47, Аноним (-), 22:16, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Что-то подсказывает, что мебель — это значит шкаф с двумя секциями

    Не обязательно. Слово «мебель» обозначает сразу категорию, сюда входят не только шкафы с двумя секциями.

     
     
  • 5.73, Michael Shigorin (ok), 22:06, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Что-то подсказывает, что мебель — это значит шкаф с двумя секциями
    > Не обязательно. Слово «мебель» обозначает сразу категорию, сюда входят не только
    > шкафы с двумя секциями.

    Это Вы про этот строго чОрный шкаф с двумя секциями и больше вообще никак?

    >>> Если поощрять желания нет, значит контент не нравится,
    >>> и покупать его не нужно (равно как и иметь к нему доступ).

    А если "контент" даже в удобрения не годится -- деньги взад обеспечите?  Нет?  Тогда в сад.

     
     
  • 6.82, Аноним (-), 23:40, 06/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > А если "контент" даже в удобрения не годится -- деньги взад обеспечите?  Нет?  Тогда в сад.

    Не покупай такой контент - и все. В детском саду в рынок не игрался что ли? Такие очевидные вещи объяснять приходится. Никто тебя не заставляет покупать то, в чем ты не заинтересован. (Если заставляют — звони 112, звонки бесплатны, симка не требуется.)

     
     
  • 7.83, Michael Shigorin (ok), 14:37, 08/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто тебя не заставляет покупать то, в чем ты не заинтересован.

    Ну то есть дуракам поговорка про кота в мешке не писана, конечно -- но вы здесь исключение.

     
  • 3.48, Карл Спаркс (?), 22:37, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Плюс к этому, парадигма обладания контентом сегодня всё больше сменяется формой подписки на контент - и это выгодно всем сторонам и конечному пользователю в том числе. Всё же цифровая эпоха заставляет шевелиться рынок под себя. А вот всякие коммунистично-добровольческие идеи по прежнему неизбежно приобретают противоестественные и нежизнеспособные формы в процессе своей эксплуатации, не взирая на слоганы и благие намерения.
     
     
  • 4.66, DerRoteBaron (?), 12:58, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое страшное, что железо сейчас де-факто тоже "приобретается" по условиям бессрочной подписки без какой-либо гарантии, что поставщик системного ПО как реальный владелец не отберёт возможность использовать железо по какой-либо причине
     
  • 3.51, Аноним (-), 22:50, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это какое такое отношение имеет DRM к рыночным отношениям? Там, помимо "борьбы с пиратством", ещё и ограничение конкуренции во всю степь.
     
  • 3.62, Аноним (-), 06:42, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Времена халявы закончились.
    > халявы

    Я что-то проспал?
    Йо-хо-хо никто не отменял. А DeRьMo - ненужно by design, поскольку ты платишь не автору контента, но идиотским кинотеатрам, которые завышают цены за воздух. Вспоминается Чипполино: "После того как мы ввели налог на воздух вы стали меньше дышать! Это возмутительно!".

     
  • 2.64, freehck (ok), 09:06, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> 28 тысяч email-адресов
    > Так мало людей против DRM.

    Это, как обычно, 5%.
    Активисты ж.

     

  • 1.6, Аноним (-), 11:36, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Drupal

    Они бы ещё Joomla использовали. Детский сад.

     
     
  • 2.10, th3m3 (ok), 12:35, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    А что нужно было использовать? Wordpress?)
     
     
  • 3.13, Аноним (-), 12:51, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Wordpress

    Нуу, это уже ясли.

     
     
  • 4.74, Michael Shigorin (ok), 22:07, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Wordpress
    > Нуу, это уже ясли.

    По сравнению с жумлой даже wp ещё полбеды...

     
  • 3.14, YetAnotherOnanym (ok), 13:45, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То есть, кроме Drupal, Joomla и Wordpress Вы никаких других CMS не знаете.
     
     
  • 4.16, Аноним (-), 14:10, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Назови свободные, достойные, надежные. Давай.
     
     
  • 5.18, Аноним (-), 14:20, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Назови свободные, достойные, надежные. Давай.

    в принципе, можно пропустить первые два списка.
    Назовите кто-нибудь хотя бы надежные.

     
     
  • 6.23, Аноним (-), 15:07, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    GRAV
     
  • 6.46, EHLO (?), 22:07, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Назовите кто-нибудь хотя бы надежные.

    Mediawiki, Foswiki.

     
  • 5.20, KonstantinB (ok), 14:30, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Любой генератор статики подойдет. Jekyll, Hugo, и т.д.

    Конечно, это не всегда годится, но вот на упомянутом сайтике никакого интерактива нет, сплошные блоги-статьи.

     
     
  • 6.30, выбрал (?), 17:32, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Любой генератор статики подойдет. Jekyll, Hugo, и т.д.
    > Конечно, это не всегда годится, но вот на упомянутом сайтике никакого интерактива
    > нет, сплошные блоги-статьи.

    и как мы будем добавлять комментарии и лайки к статьям (базу которых, вместе с авторизацией, как раз и проимели) ?

    а так и vi подойдет. или вовсе txt2html.pl (все равно оно выглядит как гуано)


     
     
  • 7.32, Аноним (-), 17:55, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Disqus
     
     
  • 8.38, вы.ал (?), 19:59, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну то есть переложим ответственность на дядю, который все сделает за нас оно ту... текст свёрнут, показать
     
  • 7.57, KonstantinB (ok), 03:02, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А так ли уж нужна для комментариев хранить емейлы и, тем более, IP-адреса? Может, это все там было не потому, что это нужно, а только потому, что в Друпале так из коробки?

    Написать простейшую систему комментариев можно и без всего этого. Отправлять на скрипт, который перегенерит ту самую статику, а подключать сгенерированное можно через тот же SSI.

    Да, можно сказать, будут спамить. Но когда будут - вот тогда и решать этот вопрос. По моей практике, на таких сайтиках от нецелевого спама защищают самые примитивнейшие меры (типа input-а с name="email" и style="display: none", заполненность которого - четкий признак спамбота), а от целевого спасает принцип Неуловимого Джо.

     
     
  • 8.80, выбрал (?), 00:32, 06/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну если хочется только беспомощно наблюдать как тоннами появляются спаммерские в... текст свёрнут, показать
     
  • 7.58, KonstantinB (ok), 03:09, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ...Более того, вполне возможно, что комментарии там и не очень-то нужны, и их включили не по необходимости, а просто потому что в Друпале они уже есть из коробки - чтобы было. А
    если бы не было, то и не очень-то захотелось бы.
     
  • 5.22, анон (?), 14:47, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    django
     
     
  • 6.24, Аноним (-), 16:36, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > django

    угу, угу, никогда не было и вот опять: https://access.redhat.com/errata/RHSA-2017:3093 (by design, заметьте - обос..лись именно в функции, используемой в качестве безопасной обертки).

    это не говоря уже о том, что jango - т*пой фреймворк, один из миллиарда, а не готовая cms. Которая, особенно когда ее напишет т*пой фанатик т*пого фреймворка, зато "не такой как все, он же на пихоне, пихон безопастно!" будет ничем не лучше, и так же отложит свой бэкап ниже documentroot, потому что варианты с ../../no-web-accessible/data/ - заблокированы по соображениям "безопасности" (это же так просто, а проверить, какому пользователю на самом деле принадлежит каталог, прежде чем туда гадить - это сложно), и ничего другого ему в голову не пришло (пришло, никого там не застало, ушло)

     
  • 5.26, YetAnotherOnanym (ok), 16:56, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На, выбирай сам - https://en.wikipedia.org/wiki/List_of_content_management_systems - а то я не знаю твоих критериев свободы, достоинства и надёжности.
     
     
  • 6.29, выбрал (?), 17:30, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    о, вот эта точно надежная!
    https://en.wikipedia.org/wiki/Umbraco

    (https://en.wikipedia.org/wiki/OpenACS тоже ничего, "и хрен вы меня уволите" если угораздит ее поставить, но, к сожалению, обновлялась в 2015м а выглядит как в 2005м)

     
  • 4.36, лютый жабист__ (?), 19:07, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Cms это вообще понятие из убогого мира писателей на голом пыхе. Если используешь mvcшный фреймворк, тебе cms и даром не нужен. А недырявые фреймворки есть
     
     
  • 5.67, Аноним (-), 14:58, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Cms это вообще понятие из убогого мира писателей на голом пыхе. Если
    > используешь mvcшный фреймворк, тебе cms и даром не нужен. А недырявые
    > фреймворки есть

    Как там апач-спрут поживает? Все уже лейкопластырем замотались?

     
     
  • 6.69, лютый жабист__ (?), 16:22, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Взял самое решетище, доказал сам себе что все фреймворки дырявые? Молодца
     
  • 2.40, demimurych (ok), 20:33, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    толсто
     

  • 1.9, anomymous (?), 12:12, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Drupal
    Defective by Design
     
  • 1.11, Аноним (-), 12:38, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской? Интересно, кто админит их сервера?
     
     
  • 2.19, Аноним (-), 14:21, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской?
    > Интересно, кто админит их сервера?

    drupal.


     
  • 2.27, iPony (?), 17:04, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня другой вопрос возник. А вообще зачем надо было эти данные хранить?
     
     
  • 3.31, Big Brother (?), 17:35, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У меня другой вопрос возник. А вообще зачем надо было эти данные
    > хранить?

    I'm watching at you!
    http://www.opennet.dev/~iPony

    (и да, суслик не виден, но твои адреса мы тоже храним)

     
     
  • 4.49, Зе Биг Аноним (?), 22:44, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А мои храните?
    А так, там может хранение ip адресов использовалось для защиты от взлома, как в том же гмайл? А вот если они просто так (неизвестно для чего) хранились, то это большой вопрос к свобочкинам ;)
     
  • 4.68, Аноним (-), 14:59, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > (и да, суслик не виден, но твои адреса мы тоже храним)

    Скажи мне мой адрес, бро?

     

  • 1.15, YetAnotherOnanym (ok), 13:49, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это не те красавчики, которые на карте мира надпись "Defective By Design" разместили поверх России?
     
     
  • 2.21, Кек (?), 14:43, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я надеюсь эту карту нашли и запретили?
     
     
  • 3.28, Аноним (-), 17:21, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Разумеетя. Мизулина, Милонов и Яровая. Независимо друг от друга.
     
     
  • 4.56, Аноним (-), 00:09, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Таки обошлись без Шигорина?
     
     
  • 5.76, Michael Shigorin (ok), 22:10, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Таки обошлись без Шигорина?

    АПВС?

     
     
  • 6.78, Аноним (-), 00:05, 06/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > АПВС?

    АПВС — аббревиатура от «А почему (поцчему) вы спрашиваете?», поначалу широко распространенная в среде кащенитов и участников Луркоморья. Некоторые источники относят также к языку падонкафф
    Подробнее: http://www.wikireality.ru/wiki/%D0%90%D0%9F%D0%

     
  • 3.35, YetAnotherOnanym (ok), 18:46, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я надеюсь эту карту нашли и запретили?

    Судя по тому, что даже на archive.org только исправленный вариант (https://web.archive.org/web/20151001000000*/http://static.fsf.org/nosvn/images/idad-2015-map.png) - да.

     
     
  • 4.63, Аноним (-), 06:45, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Или это прохладная от анонима и ничего этого не было, на самом деле.
     
  • 2.75, Michael Shigorin (ok), 22:10, 05/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Это не те красавчики, которые на карте мира надпись "Defective By Design"
    > разместили поверх России?

    Написал, поправили.

     

  • 1.39, Аноним (-), 20:15, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > включая IP-адреса авторов комментариев, номера телефонов

    Ну, это то, им зачем?

     
     
  • 2.44, Аноним (-), 21:44, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Действительно, зачем они это вообще сохраняли?
     
     
  • 3.45, Аноним (-), 22:02, 04/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Действительно, зачем они это вообще сохраняли?

    Наверняка хотели владеть всем миром ;) Но забыли про /dev/null :(

     

  • 1.55, Аноним (-), 23:53, 04/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как-то всё не романтично. Прототип айфон хотя бы в баре забывали.
     
     
  • 2.81, Аноним (-), 21:22, 06/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У меня стойкое подозрение, что кто-то тут проплаченный рекламист яблок.
     

  • 1.59, Аноним (-), 03:58, 05/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://www.cmscritic.com/awards/
     
  • 1.84, Аноним (-), 21:03, 09/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь Druapl уже обгадили, а то не хотелось бы еще раз напоминать что PHP и продукты на нем ...ище.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру