On 08.10.2013, at 00:17, DaB. wrote:
Hi,
da möchte ich mal nachfragen:
Am 07.10.2013 20:57, schrieb Stepro:
nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen. Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts. Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.
nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen auf dem Toolserver sehen konnte – und das war der Administrator!
/ … /
Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)?
Man loggt sich doch mit dem Benutzernamen+Passwort ein, oder? Das Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes eine Mail an die hinterlegte Mailadresse geschickt wird und von dort bestätigt werden muß.
Aber diese Mail würde doch an die Mailadresse geschickt, die im SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den Mailaccount des Benutzers hacken, um die Bestätigungsmail abzufangen.
Ist vermutlich schon zu spät in der Nacht, aber so richtig will sich mir das Bedrohungspotential von „Person xy hat jetzt x-tausend Mailadressen” nicht erschließen …
Mal abgesehen davon ist das natürlich ein starkes Stück was da passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI zusammendenke, dann wirds mir schlecht.
Gruß
Henriette