[Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

classic Classic list List threaded Threaded
22 messages Options
12
Reply | Threaded
Open this post in threaded view
|

[Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

DaB.
Hallo Liste,

da die WMF das Problem wohl etwas unter den Teppich kehren möchte, mal
eine kurze eMail an die Liste (falls hier jemand nicht den Kurier liest):

In WikiLabs (und damit auch in ToolLabs, dem Nachfolger des Toolservers)
gab es eine massive Sicherheitslücke. Dadurch waren die eMail-Adressen
und Passwort-Hashes diverser Wikimedia-Projekte (darunter Wikidata) für
jedermann auf den Systemen lesbar – für gut 6 Monate [1].
Betroffene müssen ihr Passwort ändern und bekommen angeblich auch eine
eMail (ich habe aber noch nix bekommen). Ich denke man kann die
Empfehlung geben, dass ALLE Benutzer sich ein neues Passwort erstellen
sollten – das eventuelle Mehr an SPAM muss man wohl ertragen. Auch würde
ich nicht empfehlen ein zu wertvolles Passwort wiederzuverwenden (oder
wie empfohlen für jede Webseite ein eigenes Passwort…).

Mit freundlichen Grüßen
DaB.

[1]
https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue/de

--
Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l

signature.asc (333 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Manuel Schneider-3
Hallo Daniel,

zur Richtigstellung:

Das Problem betrifft einige Wikis, nicht alle. Alle Benutzer der
betroffenen Wikis haben ein persönliches Mail mit genauer Erklärung
bekommen.
Selbe Erklärung wurde auf mehreren öffentlichen Listen verbreitet,
wikimedia-l, wikimediaannounce-l und wikitech-l.
Übersetzungen und Erklärungen wurden vorgestern auch auf schweizer und
österreichischen Listen gepostet.
http://lists.wikimedia.org/pipermail/vereinat-l/2013-October/001626.html

Die Sicherheitslücke bestand seit dem 26. Mai (nicht ganz sechs Monate),
zuletzt hätten 228 Labs-Benutzer auf diese Daten zugreifen können. Die
WMF geht davon aus, dass keine Daten abgezogen wurden, kann das aber
natürlich auch nicht ganz ausschliessen.

Neben dem persönlichen Mail wurden alle betroffenen Accounts sofort
zurückgesetzt, dh. auch wer sämtliche Mails verpasst hat, wird beim
Login informiert und dazu gezwungen, sein Passwort zu ändern.

Wer mehr (auf deutsch) zum Problem lesen will kann dies unter
http://lists.wikimedia.org/pipermail/vereinat-l/2013-October/001626.html
tun.

Grüsse,


Manuel
--
Wikimedia CH - Verein zur Förderung Freien Wissens
Lausanne, +41 (21) 34066-22 - www.wikimedia.ch

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

DaB.
Hallo Manuel,

anbei eine Korrektur deiner Richtigstellung.

Am 04.10.2013 16:36, schrieb Manuel Schneider:
> Das Problem betrifft einige Wikis, nicht alle. Alle Benutzer der
> betroffenen Wikis haben ein persönliches Mail mit genauer Erklärung
> bekommen.

ich habe KEINE eMail erhalten, musste aber mein Passwort ändern (d.h.
das ich betroffen bin AFAIS). Und ich schrieb nirgendwo, dass "alle"
Wikis betroffen sind, ich schrieb "diverse". Darunter ist übrigens so
eine Kleinigkeit wie Wikidata (und wann haben da die meisten Leute ihre
Accounts anlegt?).

> Die Sicherheitslücke bestand seit dem 26. Mai (nicht ganz sechs
> Monate), zuletzt hätten 228 Labs-Benutzer auf diese Daten zugreifen
> können. Die WMF geht davon aus, dass keine Daten abgezogen wurden,
> kann das aber natürlich auch nicht ganz ausschliessen.

Ich schrieb "gut 6 Monate". Ob Daten "abgezogen" wurden, kann die WMF
gar nicht wissen, sie HOFFT nur das niemand neugierig war. Im
Worst-case-Fall hat jetzt jemand sämtliche eMail-Adressen und
Passwort-Hashes aller Leute, die in einem der getroffenen Projekte ihr
Passwort geändert haben oder sich erstmalig angemeldet haben.

> Selbe Erklärung wurde auf mehreren öffentlichen Listen verbreitet,
> wikimedia-l, wikimediaannounce-l und wikitech-l.

Also nur auf Listen die Otto-Normal-Wikipedianer nicht liest. Die WMF
hielt es nicht mal für notwendig eine Site-Notice zu schalten oder
wenigstens die Projekte zu informieren.

Mit freundlichen Grüßen
DaB.


--
Diese eMail sollte mit dem PGP-Schlüssel 0x2d3ee2d42b255885 signiert
sein. Misstrauen Sie unsignierten eMails!

--
Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l

signature.asc (333 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Juergen Fenn-3
Am 4. Oktober 2013 18:33 schrieb DaB. <[hidden email]>:

>> Das Problem betrifft einige Wikis, nicht alle. Alle Benutzer der
>> betroffenen Wikis haben ein persönliches Mail mit genauer Erklärung
>> bekommen.
>
> ich habe KEINE eMail erhalten, musste aber mein Passwort ändern (d.h.
> das ich betroffen bin AFAIS).

Soweit ich es verstanden habe, mußten sich vorsorglich alle neu
einloggen und ihr Paßwort ändern.

>> Selbe Erklärung wurde auf mehreren öffentlichen Listen verbreitet,
>> wikimedia-l, wikimediaannounce-l und wikitech-l.
>
> Also nur auf Listen die Otto-Normal-Wikipedianer nicht liest. Die WMF
> hielt es nicht mal für notwendig eine Site-Notice zu schalten oder
> wenigstens die Projekte zu informieren.

Das hätte ich mir auch gewünscht. Ebenso einen offiziellen Blogpost im
Wikimedia-Blog. Wenn ich bedenke, worüber sie alles schon gebloggt
haben...

Danke an Manuel für die weiteren Erläuterungen auf wikimedia-at!

Viele Grüße,
Jürgen.

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Trofobi
FYI der original-Mailtext:



-------- Original Message --------
Subject: Notification about Wikimedia user account security issue
Date: Thu, 03 Oct 2013 07:10:46 +0000
From: Wikimedia Foundation <[hidden email]>



Dear Wikimedia user,

On October 1, 2013, we learned about an implementation error that made
private user information (specifically, user email addresses, password
hashes, session tokens, and last login timestamp) for approximately
37,000 Wikimedia project users accessible to volunteers with access to
the Wikimedia "LabsDB" infrastructure.

Your user account is one of the ones which was affected.

LabsDB, launched in May 2013, is designed to give volunteers the
ability to write tools and generate reports that make use of data from
our databases in real-time. This supports bottom-up innovation by the
Wikimedia community. As part of this process, private data is
automatically redacted before volunteers are given access to the data.
Unfortunately, for some of Wikimedia's wikis [1], the database
triggers used to redact private data failed to take effect due to a
schema incompatibility, and LabsDB users had access to private user
data present for some users in these specific wiki databases.

As of October 1, 2013, 228 users have access to LabsDB, and the window
of availability of this data was May 29, 2013 to October 1, 2013.

This issue was discovered and reported by a trusted volunteer, and
access to the data in question was revoked within 15 minutes of the
report. We have no evidence to suggest that the private data in
question was exported in bulk or used for malicious purposes, but we
cannot definitively exclude the possibility. As a precautionary
measure, we have invalidated all affected user sessions, and are
requiring affected users like yourself to change their password on
their next login.

We regret this mistake. LabsDB is still a new part of our
infrastructure, and we will fully audit the redaction process, so as
to minimize any risk of a future mistake of this nature.

This notice is also posted to:
https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue

Sincerely,
Erik Moeller
Vice President of Engineering & Product Development, Wikimedia Foundation

Contact information: Should you have any questions, please contact us
via email to:

[hidden email]

You can also reach the Wikimedia Foundation at:

Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
Phone: +1-415-839-6885
Fax: +1-415-882-0495

[1] List of affected databases: aswikisource bewikisource dewikivoyage
elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource
hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki
nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage
sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki
ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki



_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Stefan Knauf-2
Hallo Leute!

Ich würde gerne wissen, welche Passwort-Streuwerte
eigentlich betroffen sind. Die Passwörter aller, die sich
in einem der betroffenen Wikis mit ihrem Passwort
angemeldet haben? Alle Konten, die ihr Heimatwiki in einem
betroffenen Wiki haben? Oder nur alle lokalen Konten, die
keine SUL-Accounts sind?

MfG
Stefan

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Steffen Prößdorf-2
Am 05.10.2013 16:58, schrieb Stefan Knauf:

> Hallo Leute!
>
> Ich würde gerne wissen, welche Passwort-Streuwerte eigentlich
> betroffen sind. Die Passwörter aller, die sich in einem der
> betroffenen Wikis mit ihrem Passwort angemeldet haben? Alle Konten,
> die ihr Heimatwiki in einem betroffenen Wiki haben? Oder nur alle
> lokalen Konten, die keine SUL-Accounts sind?
>
> MfG
> Stefan
>
Es betrifft alle Konten, die in einem der aufgezählten Projekte einmal
angemeldet waren - auch automatisch per SUL.
Die betreffenden Nutzer wurden in allen Projekten abgemeldet und haben
eine Aufforderung zum Passwortwechsel beim nächsten Anmelden in
irgendeinem Wikimedia-Projekt bekommen. Wenn Du mit Deinem bisherigen
Passwort weiterarbeiten kannst, betrifft es Dich nicht.

Viele Grüße,
Steffen

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Stefan Knauf-2
"Steffen Prößdorf (Stepro)" schrieb:

> Es betrifft alle Konten, die in einem der aufgezählten
>Projekte einmal angemeldet waren - auch automatisch per
>SUL.
> Die betreffenden Nutzer wurden in allen Projekten
>abgemeldet und haben eine Aufforderung zum
>Passwortwechsel beim nächsten Anmelden in irgendeinem
>Wikimedia-Projekt bekommen. Wenn Du mit Deinem bisherigen
>Passwort weiterarbeiten kannst, betrifft es Dich nicht.


Auf Wikidata war ich im betreffenden Zeitraum angemeldet
und habe editiert (was man an meiner Beitragsliste sieht),
habe aber keine E-Mail bekommen, dass ich betroffen sei,
und konnte einfach mit meinem alten Passwort
weiterarbeiten.

MfG
Stefan Knauf


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Mathias Schindler-2
In reply to this post by DaB.
Guten Morgen,

2013/10/4 DaB. <[hidden email]>:

> da die WMF das Problem wohl etwas unter den Teppich kehren möchte

ich bin irritiert über diesen Beginn der Email, denn es ist nicht
meine Wahrnehmung dessen, wie die WMF damit umgegangen ist. Ach ja,
irritiert ist ein Euphemismus für verärgert.

Bitte zeige mir eine allgemeine incident response policy mit
Anforderungen zum Umgang mit vergleichbaren Vorfällen, die über das
Maß hinausgehen, was die WMF getan hat.

Mathias

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Christian Knoke
Mathias Schindler schriebst am 07. Oct um 08:41 Uhr:
> Guten Morgen,
>
> 2013/10/4 DaB. <[hidden email]>:
>
> > da die WMF das Problem wohl etwas unter den Teppich kehren möchte
>
> ich bin irritiert über diesen Beginn der Email, denn es ist nicht
> meine Wahrnehmung dessen, wie die WMF damit umgegangen ist. Ach ja,
> irritiert ist ein Euphemismus für verärgert.

Also wenn da tausende Passwörter kompromittiert waren, und die Betroffenen
dass teilweise nicht einmal erfahren haben, war der mediale Umgang der
WMF damit offenbar unzureichend.

Gruß
Christian

--
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Mathias Schindler-2
2013/10/7 Christian Knoke <[hidden email]>:

> Also wenn da tausende Passwörter kompromittiert waren, und die Betroffenen
> dass teilweise nicht einmal erfahren haben, war der mediale Umgang der
> WMF damit offenbar unzureichend.

Mein Account war betroffen, ich habe eine diesbezügliche Email
erhalten. Wer hat denn einen definitiv* betroffenen account und hat
definitiv* keine Email erhalten?

Mathias

* das beginnt bei "have you tried turning it off and on again" und
geht weiter bis hin zur Frage, ob man auch tatsächlich in die inbox
geschaut hat, deren emailadresse im wikimedia-account hinterlegt war,
spamfolder, irgendwelche labeling-archivierungsregeln etc..

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

DaB.
In reply to this post by Mathias Schindler-2
Hallo Mathias,
Am 07.10.2013 08:41, schrieb Mathias Schindler:
> ich bin irritiert über diesen Beginn der Email, denn es ist nicht
> meine Wahrnehmung dessen, wie die WMF damit umgegangen ist. Ach ja,
> irritiert ist ein Euphemismus für verärgert.

weder hat die WMF die Projekte informiert (das habe ich für dewp
gemacht), noch die passenden Mailinglisten (das habe ich für diese ML
gemacht), noch die Leute mit Bots auf dem TS (das habe ich auch gemacht).
Ich habe auch keine Pressemitteilung gesehen, es gab keine SiteNotice,
noch nicht mal einen Hinweis auf der MainPage-Talk-page (=Hauptseitendisku).

Für die Schwere des Vorfalls war die Informierung der Öffentlichkeit
ABSOLUT unzureichend.
Was wohl einigermaßen geklappt hat war die Informierung der Accounts,
die die WMF als betroffen einschätzt. Wobei da auch die
Beschwichtigungsversuch „Wir glauben es ist nix passiert“ lächerlich war.

Mit freundlichen Grüßen
DaB.


--
Diese eMail sollte mit dem PGP-Schlüssel 0x2d3ee2d42b255885 signiert
sein. Misstrauen Sie unsignierten eMails!




_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l

signature.asc (333 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

DaB.
In reply to this post by Mathias Schindler-2
Hallo,
Am 07.10.2013 09:40, schrieb Mathias Schindler:
> Wer hat denn einen definitiv* betroffenen account und hat
> definitiv* keine Email erhalten?

ICH habe definitiv keine eMail bekommen. Und zwar weil die WMF eine
uralte eMail-Adresse von mir benutzt hat, die nicht meiner SUL-eMail
entspricht und die Ablehnung des mail-Servers weder beachtet noch
aufgefangen hat.

Mit freundlichen Grüßen
DaB.



--
Diese eMail sollte mit dem PGP-Schlüssel 0x2d3ee2d42b255885 signiert
sein. Misstrauen Sie unsignierten eMails!




_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l

signature.asc (333 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Steffen Prößdorf-2
In reply to this post by DaB.
Am 07.10.2013 20:36, schrieb DaB.:

> Hallo Mathias,
> Am 07.10.2013 08:41, schrieb Mathias Schindler:
>> ich bin irritiert über diesen Beginn der Email, denn es ist nicht
>> meine Wahrnehmung dessen, wie die WMF damit umgegangen ist. Ach ja,
>> irritiert ist ein Euphemismus für verärgert.
> weder hat die WMF die Projekte informiert (das habe ich für dewp
> gemacht), noch die passenden Mailinglisten (das habe ich für diese ML
> gemacht), noch die Leute mit Bots auf dem TS (das habe ich auch gemacht).
> Ich habe auch keine Pressemitteilung gesehen, es gab keine SiteNotice,
> noch nicht mal einen Hinweis auf der MainPage-Talk-page (=Hauptseitendisku).
>
> Für die Schwere des Vorfalls war die Informierung der Öffentlichkeit
> ABSOLUT unzureichend.
> Was wohl einigermaßen geklappt hat war die Informierung der Accounts,
> die die WMF als betroffen einschätzt. Wobei da auch die
> Beschwichtigungsversuch „Wir glauben es ist nix passiert“ lächerlich war.
>
> Mit freundlichen Grüßen
> DaB.
>

Hallo DaB.,

nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des
Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen.
Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler
die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer
Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch
andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise
nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts.
Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler
hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.

Darüber willst Du allen Ernstes die Öffentlichkeit informieren und
Pressemitteilungen herausgeben? Das ist doch völlig lächerlich! Wen denn
noch? Bundeskanzler, UNO und Amnesty International? Also ehrlich, hier
übertreibst Du meiner Meinung nach um Potenzen.

Die betreffenden Nutzer wurden informiert. Wenn sie - aus welchen
Gründen auch immer - im Einzelfall die Info-Mail nicht bekommen haben
sollten, haben sie die Information beim nächsten Versuch sich in einem
WMF-Projekt anzumelden bekommen.
Wie Du weisst, wurden alle betroffenen Nutzer automatisch in allen
Projekten abgemeldet, und mussten beim nächsten Login ihr Passwort
ändern. Das sollte doch nun wirklich für dieses Problem ein adäquater
Umgang sein.

Viele Grüße,
Steffen

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

DaB.
Am 07.10.2013 20:57, schrieb Stepro:
> nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des
> Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen.
> Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler
> die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer
> Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch
> andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise
> nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts.
> Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler
> hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.

nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was
die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen
auf dem Toolserver sehen konnte – und das war der Administrator!

Das Entweichen von Passwort-Hashes und eMail-Adressen IST der
Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich
braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von
Adobe). Und wenn schon nicht die Presse, dann informiert man wenigstens
die Projekte.

Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt
mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)?

Und wenn nur 1 Checkuser eines Projektes ein schwaches Passwort benutzt
hat, dann hatten potentiell 228 LabsEntwickler Zugriff auf die
Checkuser-Daten eines Projektes – für bis zu 5 Monate.

Aber auch jeder andere Account (Admins, Oversigther, Bürokraten,
Stewards, etc.) könnte übernommen worden sein – und es immer noch sein
(und immer noch werden).

Aber nein, lohnt die Aufregung nicht….

Mit freundlichen Grüßen
DaB.


[1] http://heise.de/-1973835

--
Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l

signature.asc (333 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Magnus Manske-2
2013/10/7 DaB. <[hidden email]>

> Am 07.10.2013 20:57, schrieb Stepro:
> > nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des
> > Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen.
> > Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler
> > die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer
> > Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch
> > andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise
> > nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts.
> > Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler
> > hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.
>
> nicht "ein paar", min. 228 Stück!


Genau! Wir anderen 227 haben schon seit Monaten email-Adressen kopiert, nut
Multichill haben wir nix gesagt! Und wenn der nicht gepetzt hätten, wären
wir jetzt alle Milliardäre vom Daten-Verkauf!

Hast Du auch von den Toolserver-Benutzern so eine hohe Meinung? Oder ist
das nur auf die Verräter bei Labs beschränkt?


> Das Entweichen von Passwort-Hashes und eMail-Adressen IST der
> Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich
> braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von
> Adobe).


Ah ja. Das ein paar Leute, die der Wikipedia etc. in ihrer Freizeit mit
Code helfen wollen, theoretisch ein paar email-Adressen sehen konnten, ist
natürlich in der gleichen Kategorie wie ein Hackerangriff, bei dem massiv
Kreditkarten-Daten erbeutet wurden.


>
> Aber nein, lohnt die Aufregung nicht….
>

Da stimme ich mal voll und ganz zu.

Grüße,
Magnus
_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Stefan Knauf-2
Magnus Manskeschrieb am Mon, 7 Oct 2013 23:39:08 +0100:

> Genau! Wir anderen 227 haben schon seit Monaten
>email-Adressen kopiert, nut
> Multichill haben wir nix gesagt!

Es genügt ja, wenn unter den 228 Leuten ein schwarzes
Schaf war, das die E-Mail-Adressen verkauft und die
Passwort-Streuwerte missbraucht hat, um auszutesten, ob
sich ein paar der Passwörter errechnen lassen...

_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Rainer Knaepper-2
In reply to this post by Steffen Prößdorf-2
[hidden email] (Stepro)  am 07.10.13:

> nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des
> Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen.
> Es bestand die theoretische Möglichkeit, dass ein paar
                                                ^^^^^^^^
> Labs-Entwickler die Mailadressen von Nutzern einsehen konnten.
> Selbst wenn das außer Multichill, der dankenswerter Weise sofort
> die WMF informiert hat, noch andere gemerkt haben sollten: Diese
> Spezies gehört üblicherlichweise nicht zu den Kriminellen. Was
> vermutlich passiert ist: Überhaupt nichts.

Man weiß also nichts.

> Was im absoluten
> Worst-Case passiert sein könnte: Ein Labs-Entwickler hat jetzt die
                                   ^^^^
> Mailadressen von Nutzern auf seiner Festplatte.

> Darüber willst Du allen Ernstes die Öffentlichkeit informieren und
> Pressemitteilungen herausgeben? Das ist doch völlig lächerlich! Wen
> denn noch? Bundeskanzler, UNO und Amnesty International? Also
> ehrlich, hier übertreibst Du meiner Meinung nach um Potenzen.

> Die betreffenden Nutzer wurden informiert. Wenn sie - aus welchen
> Gründen auch immer - im Einzelfall die Info-Mail nicht bekommen
> haben sollten, haben sie die Information beim nächsten Versuch sich
> in einem WMF-Projekt anzumelden bekommen.
> Wie Du weisst, wurden alle betroffenen Nutzer automatisch in allen
> Projekten abgemeldet, und mussten beim nächsten Login ihr Passwort
> ändern. Das sollte doch nun wirklich für dieses Problem ein
> adäquater Umgang sein.

Diese verharmlosende Polemik hätte ich von dir einklich nicht
erwartet. Ich kann die von DaB. erwähnten Seiteneffekte nicht
beurteilen, bei WMF hat die aber anscheinend niemand gesehen. Der
worst case sieht mir danach doch noch etwas anders aus.

Rainer


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Magnus Manske-2
In reply to this post by Stefan Knauf-2
Bei einem "schwarzen Schaf" liegt die Chance bei 1/228 oder ~0.4%, das er
die Lücke vor Multichill bemerkt hat. Ob es ein solches Schaf gibt, und was
es damit anfangen kann, nicht mitgerechnet.

FWIW, ich war auch betroffen, habe auch keine "offizielle" mail erhalten
(IIRC). Bange nicht um mein Leben oder mein Konto. YMMV.


2013/10/7 Stefan Knauf <[hidden email]>

> Magnus Manskeschrieb am Mon, 7 Oct 2013 23:39:08 +0100:
>
>
>  Genau! Wir anderen 227 haben schon seit Monaten email-Adressen kopiert,
>> nut
>> Multichill haben wir nix gesagt!
>>
>
> Es genügt ja, wenn unter den 228 Leuten ein schwarzes Schaf war, das die
> E-Mail-Adressen verkauft und die Passwort-Streuwerte missbraucht hat, um
> auszutesten, ob sich ein paar der Passwörter errechnen lassen...
>
>
> ______________________________**_________________
> WikiDE-l mailing list
> [hidden email]
> https://lists.wikimedia.org/**mailman/listinfo/wikide-l<https://lists.wikimedia.org/mailman/listinfo/wikide-l>
>



--
undefined
_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
Reply | Threaded
Open this post in threaded view
|

Re: [Wikide-l] Sicherheitslücke bei Wikimedia-Projekten

Henriette Fiebig
In reply to this post by DaB.

On 08.10.2013, at 00:17, DaB. wrote:

Hi,

da möchte ich mal nachfragen:

> Am 07.10.2013 20:57, schrieb Stepro:
>> nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des
>> Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen.
>> Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler
>> die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer
>> Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch
>> andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise
>> nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts.
>> Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler
>> hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.
>
> nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was
> die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen
> auf dem Toolserver sehen konnte – und das war der Administrator!
>
/ … /
>
> Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt
> mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)?

Man loggt sich doch mit dem Benutzernamen+Passwort ein, oder? Das Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes eine Mail an die hinterlegte Mailadresse geschickt wird und von dort bestätigt werden muß.

Aber diese Mail würde doch an die Mailadresse geschickt, die im SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den Mailaccount des Benutzers hacken, um die Bestätigungsmail abzufangen.

Ist vermutlich schon zu spät in der Nacht, aber so richtig will sich mir das Bedrohungspotential von „Person xy hat jetzt x-tausend Mailadressen” nicht erschließen …

Mal abgesehen davon ist das natürlich ein starkes Stück was da passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI zusammendenke, dann wirds mir schlecht.

Gruß

Henriette


_______________________________________________
WikiDE-l mailing list
[hidden email]
https://lists.wikimedia.org/mailman/listinfo/wikide-l
12