Am 07.10.2013 20:57, schrieb Stepro:
nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen. Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts. Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.
nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen auf dem Toolserver sehen konnte – und das war der Administrator!
Das Entweichen von Passwort-Hashes und eMail-Adressen IST der Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von Adobe). Und wenn schon nicht die Presse, dann informiert man wenigstens die Projekte.
Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)?
Und wenn nur 1 Checkuser eines Projektes ein schwaches Passwort benutzt hat, dann hatten potentiell 228 LabsEntwickler Zugriff auf die Checkuser-Daten eines Projektes – für bis zu 5 Monate.
Aber auch jeder andere Account (Admins, Oversigther, Bürokraten, Stewards, etc.) könnte übernommen worden sein – und es immer noch sein (und immer noch werden).
Aber nein, lohnt die Aufregung nicht….
Mit freundlichen Grüßen DaB.