Wikimedia-Benutzerzugänge neu abgesichert (was: Notification about Wikimedia user account security issue) - VereinAT-l

3 Oct 2013


      Hallo zusammen,
einige von Euch haben heute Nacht untenstehendes, englisches Mail von
Erik Möller, Vice-Geschäftsführer und Technik-Direktor der Wikimedia
Foundation erhalten. Einige Benutzerdaten waren via WMFLabs für andere
Benutzer abrufbar, nun sollen alle betroffenen Benutzer ihre Passwörter
ändern.
Ich erlaube mir kurz auf deutsch zusammenzufassen, um was es geht. Erik
hat die Angelegenheit umfassend erklärt, ich versuche es auch für die
weniger technisch versierten verständlich zu machen.
Die Wikimedia Foundation betreibt seit einiger Zeit die "WMFLabs", oft
auch nur "Labs" genannt, einige Server auf denen Autoren, Botbetreiber
etc. ihre Werkzeuge und Scripts laufen lassen können und direkten
Zugriff auf die Wikipedia- und alle anderen Projekt-Datenbanken haben.
Labs soll der Nachfolger des bekannten "Toolserver" werden.
In diesen Datenbanken stehen neben Wikipedia-Artikeln auch die
Benutzerdaten aller Wikimedia-Benutzer, dh. Benutzernamen,
E-Mail-Adressen, verschlüsselte Passwörter, Einstellungen etc.
Früher beim Toolserver hat man diese Daten beim Datenexport
ausgeklammert und nur die nicht-personenbezogenen Daten mit dem
Toolserver synchronisiert. Damit niemand ausserhalb des kleinen Kreises
an WMF-Technikern mit direktem Zugriff auf die Server Zugang zu diesen
persönlichen Daten erhält.
Bei WMFLabs hat man direkt Zugriff auf die Datenbanken der
Wikimedia-Projekte. Das ist einer der grossen Vorteile von Labs
gegenüber dem Toolserver, denn die Synchronisation war immer eine der
grössten Schwachstellen. Bei Labs wollte man mittels
Datenbankeinstellungen verhindern, dass Labs-Benutzer auf diese
persönliche Daten zugreifen können. Dabei ist ein Fehler passiert und
bei einigen Projekten hat der Zugriffsregel nicht funktioniert, der
Zugriff war dennoch möglich.
Vom 29. Mai bis 1. Oktober bestand diese Zugriffsmöglichkeit für zuletzt
228 Labs-Benutzer. Ein Benutzer fand dies heraus und informierte die
Wikimedia Foundation, die das Problem binnen 15 Minuten behoben hat.
Dass jemand von diesem Zugang Gebrauch gemacht hat ist nicht bekannt,
aber nicht auszuschliessen.
Derartige Sicherheitsprobleme sind der "worst case", das schlimmste, was
Administratoren befürchten. Niemand informiert gerne öffentlich, dass er
ein Sicherheitsproblem hat, gleichzeitig macht eine mangelhafte
Kommunikation und der Versuch, das Problem zu vertuschen, die Sache noch
viel schlimmer. Ich danke Erik für die schnelle und offene Reaktion.
Auch wir als Chapter beschäftigen uns mit solchen Problemen. In unseren
Wikis sammeln wir ebenfalls Benutzerdaten mit Passwörtern, in CiviCRM
und Tine werden vollständige Kontaktdaten mit Bankverbindungen,
Finanztransaktionen etc. gesammelt die gut geschützt werden müssen.
Diese Daten müssen einerseits für Mitarbeiter und Vorstand unkompliziert
zur Verfügung stehen um diese bei ihrer Arbeit optimal zu informieren
und zu unterstützen, gleichzeitig müssen wir verhindern, dass
Unberechtigte Zugang zu diesen Daten bekommen. Gerade bei einer Vielzahl
von Diensten, die auf dem selben Serversystem laufen und teilweise auch
direkten Zugang für externe Nutzer erlauben eine Herausforderung.
Bei Wikimedia CH und Österreich ist es meine Verantwortung, diese
Sicherheit zu gewährleisten. Verschiedene Massnahmen sollen dafür
sorgen, dass solche Probleme bei uns hoffentlich nie auftreten:
* sämtliche Zugriffsmöglichkeiten auf unseren Server sind verschlüsselt
(HTTPS, TLS für Mail, SSH, kein FTP, etc.)
* nur wenige Dienste die von extern erreichbar sein müssen, haben die
Möglichkeit mit der Aussenwelt zu kommunizieren. Datenbanken können
bspw. nur lokal angesprochen werden.
* Ein Dienst überwacht alle Logins uns sperrt bei verdächtigem Verhalten
die IP-Adresse des Benutzers, so dass dieser für eine Stunde den Server
nicht mehr erreichen kann (auch keine anderen Dienste).
* Alle Webseiten laufen in einer eigenen Benutzerumgebung (Benutzer /
Gruppe) auf die ausschliesslich Benutzer der selben Gruppe Zugriff
haben. So kann ich anderen Benutzern Zugang zu einer Webseite auf
Systemebene geben, ohne dass dieser Benutzer auf andere Webseiten
zugreifen kann.
* Jede Webseite verwendet eine eigene Datenbank mit eigenen
Zugangsdaten, die nur Zugriff auf die betreffende Datenbank erlauben.
* Die einzige Synchronisation, die stattfindet ist ein nächtliches
Backup auf einen Backup-Server in unserem Büro. Auf diesem Server gibt
nur den Backup-Dienst und nur einen Benutzerzugang.
Bei Fragen - zum aktuellen Sicherheitsproblem der WMF oder zu unserer
Infrastruktur - stehe ich gerne zur Verfügung.
Viele Grüsse,
Manuel
-------- Original-Nachricht --------
Betreff: Notification about Wikimedia user account security issue
Datum: Thu, 03 Oct 2013 05:57:27 +0000
Von: Wikimedia Foundation accountsecurity@wikimedia.org
An: 80686 manuel.schneider@wikimedia.ch
Dear Wikimedia user,
On October 1, 2013, we learned about an implementation error that made
private user information (specifically, user email addresses, password
hashes, session tokens, and last login timestamp) for approximately
37,000 Wikimedia project users accessible to volunteers with access to
the Wikimedia "LabsDB" infrastructure.
Your user account is one of the ones which was affected.
LabsDB, launched in May 2013, is designed to give volunteers the
ability to write tools and generate reports that make use of data from
our databases in real-time. This supports bottom-up innovation by the
Wikimedia community. As part of this process, private data is
automatically redacted before volunteers are given access to the data.
Unfortunately, for some of Wikimedia's wikis [1], the database
triggers used to redact private data failed to take effect due to a
schema incompatibility, and LabsDB users had access to private user
data present for some users in these specific wiki databases.
As of October 1, 2013, 228 users have access to LabsDB, and the window
of availability of this data was May 29, 2013 to October 1, 2013.
This issue was discovered and reported by a trusted volunteer, and
access to the data in question was revoked within 15 minutes of the
report. We have no evidence to suggest that the private data in
question was exported in bulk or used for malicious purposes, but we
cannot definitively exclude the possibility. As a precautionary
measure, we have invalidated all affected user sessions, and are
requiring affected users like yourself to change their password on
their next login.
We regret this mistake. LabsDB is still a new part of our
infrastructure, and we will fully audit the redaction process, so as
to minimize any risk of a future mistake of this nature.
This notice is also posted to:
https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue
Sincerely,
Erik Moeller
Vice President of Engineering & Product Development, Wikimedia Foundation
Contact information: Should you have any questions, please contact us
via email to:
accountsecurity@wikimedia.org
You can also reach the Wikimedia Foundation at:
Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
Phone: +1-415-839-6885
Fax: +1-415-882-0495
[1] List of affected databases: aswikisource bewikisource dewikivoyage
elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource
hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki
nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage
sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki
ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki