Hallo Manuel,

anbei eine Korrektur deiner Richtigstellung.

Am 04.10.2013 16:36, schrieb Manuel Schneider:

Das Problem betrifft einige Wikis, nicht alle. Alle Benutzer der betroffenen Wikis haben ein persönliches Mail mit genauer Erklärung bekommen.

ich habe KEINE eMail erhalten, musste aber mein Passwort ändern (d.h. das ich betroffen bin AFAIS). Und ich schrieb nirgendwo, dass "alle" Wikis betroffen sind, ich schrieb "diverse". Darunter ist übrigens so eine Kleinigkeit wie Wikidata (und wann haben da die meisten Leute ihre Accounts anlegt?).

Die Sicherheitslücke bestand seit dem 26. Mai (nicht ganz sechs Monate), zuletzt hätten 228 Labs-Benutzer auf diese Daten zugreifen können. Die WMF geht davon aus, dass keine Daten abgezogen wurden, kann das aber natürlich auch nicht ganz ausschliessen.

Ich schrieb "gut 6 Monate". Ob Daten "abgezogen" wurden, kann die WMF gar nicht wissen, sie HOFFT nur das niemand neugierig war. Im Worst-case-Fall hat jetzt jemand sämtliche eMail-Adressen und Passwort-Hashes aller Leute, die in einem der getroffenen Projekte ihr Passwort geändert haben oder sich erstmalig angemeldet haben.

Selbe Erklärung wurde auf mehreren öffentlichen Listen verbreitet, wikimedia-l, wikimediaannounce-l und wikitech-l.

Also nur auf Listen die Otto-Normal-Wikipedianer nicht liest. Die WMF hielt es nicht mal für notwendig eine Site-Notice zu schalten oder wenigstens die Projekte zu informieren.

Mit freundlichen Grüßen DaB.

FYI der original-Mailtext:

-------- Original Message -------- Subject: Notification about Wikimedia user account security issue Date: Thu, 03 Oct 2013 07:10:46 +0000 From: Wikimedia Foundation accountsecurity@wikimedia.org

Dear Wikimedia user,

On October 1, 2013, we learned about an implementation error that made private user information (specifically, user email addresses, password hashes, session tokens, and last login timestamp) for approximately 37,000 Wikimedia project users accessible to volunteers with access to the Wikimedia "LabsDB" infrastructure.

Your user account is one of the ones which was affected.

LabsDB, launched in May 2013, is designed to give volunteers the ability to write tools and generate reports that make use of data from our databases in real-time. This supports bottom-up innovation by the Wikimedia community. As part of this process, private data is automatically redacted before volunteers are given access to the data. Unfortunately, for some of Wikimedia's wikis [1], the database triggers used to redact private data failed to take effect due to a schema incompatibility, and LabsDB users had access to private user data present for some users in these specific wiki databases.

As of October 1, 2013, 228 users have access to LabsDB, and the window of availability of this data was May 29, 2013 to October 1, 2013.

This issue was discovered and reported by a trusted volunteer, and access to the data in question was revoked within 15 minutes of the report. We have no evidence to suggest that the private data in question was exported in bulk or used for malicious purposes, but we cannot definitively exclude the possibility. As a precautionary measure, we have invalidated all affected user sessions, and are requiring affected users like yourself to change their password on their next login.

We regret this mistake. LabsDB is still a new part of our infrastructure, and we will fully audit the redaction process, so as to minimize any risk of a future mistake of this nature.

This notice is also posted to: https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue

Sincerely, Erik Moeller Vice President of Engineering & Product Development, Wikimedia Foundation

Contact information: Should you have any questions, please contact us via email to:

accountsecurity@wikimedia.org

You can also reach the Wikimedia Foundation at:

Wikimedia Foundation, Inc. 149 New Montgomery Street Floor 6 San Francisco, CA 94105 United States Phone: +1-415-839-6885 Fax: +1-415-882-0495

[1] List of affected databases: aswikisource bewikisource dewikivoyage elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki

Am 05.10.2013 16:58, schrieb Stefan Knauf:

Hallo Leute!

Ich würde gerne wissen, welche Passwort-Streuwerte eigentlich betroffen sind. Die Passwörter aller, die sich in einem der betroffenen Wikis mit ihrem Passwort angemeldet haben? Alle Konten, die ihr Heimatwiki in einem betroffenen Wiki haben? Oder nur alle lokalen Konten, die keine SUL-Accounts sind?

MfG Stefan

Es betrifft alle Konten, die in einem der aufgezählten Projekte einmal angemeldet waren - auch automatisch per SUL. Die betreffenden Nutzer wurden in allen Projekten abgemeldet und haben eine Aufforderung zum Passwortwechsel beim nächsten Anmelden in irgendeinem Wikimedia-Projekt bekommen. Wenn Du mit Deinem bisherigen Passwort weiterarbeiten kannst, betrifft es Dich nicht.

Viele Grüße, Steffen

2013/10/7 Christian Knoke chrisk@cknoke.de:

Also wenn da tausende Passwörter kompromittiert waren, und die Betroffenen dass teilweise nicht einmal erfahren haben, war der mediale Umgang der WMF damit offenbar unzureichend.

Mein Account war betroffen, ich habe eine diesbezügliche Email erhalten. Wer hat denn einen definitiv* betroffenen account und hat definitiv* keine Email erhalten?

Mathias

* das beginnt bei "have you tried turning it off and on again" und geht weiter bis hin zur Frage, ob man auch tatsächlich in die inbox geschaut hat, deren emailadresse im wikimedia-account hinterlegt war, spamfolder, irgendwelche labeling-archivierungsregeln etc..

Hallo Mathias, Am 07.10.2013 08:41, schrieb Mathias Schindler:

ich bin irritiert über diesen Beginn der Email, denn es ist nicht meine Wahrnehmung dessen, wie die WMF damit umgegangen ist. Ach ja, irritiert ist ein Euphemismus für verärgert.

weder hat die WMF die Projekte informiert (das habe ich für dewp gemacht), noch die passenden Mailinglisten (das habe ich für diese ML gemacht), noch die Leute mit Bots auf dem TS (das habe ich auch gemacht). Ich habe auch keine Pressemitteilung gesehen, es gab keine SiteNotice, noch nicht mal einen Hinweis auf der MainPage-Talk-page (=Hauptseitendisku).

Für die Schwere des Vorfalls war die Informierung der Öffentlichkeit ABSOLUT unzureichend. Was wohl einigermaßen geklappt hat war die Informierung der Accounts, die die WMF als betroffen einschätzt. Wobei da auch die Beschwichtigungsversuch „Wir glauben es ist nix passiert“ lächerlich war.

Mit freundlichen Grüßen DaB.

Am 07.10.2013 20:57, schrieb Stepro:

nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen. Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts. Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.

nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen auf dem Toolserver sehen konnte – und das war der Administrator!

Das Entweichen von Passwort-Hashes und eMail-Adressen IST der Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von Adobe). Und wenn schon nicht die Presse, dann informiert man wenigstens die Projekte.

Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)?

Und wenn nur 1 Checkuser eines Projektes ein schwaches Passwort benutzt hat, dann hatten potentiell 228 LabsEntwickler Zugriff auf die Checkuser-Daten eines Projektes – für bis zu 5 Monate.

Aber auch jeder andere Account (Admins, Oversigther, Bürokraten, Stewards, etc.) könnte übernommen worden sein – und es immer noch sein (und immer noch werden).

Aber nein, lohnt die Aufregung nicht….

Mit freundlichen Grüßen DaB.

[1] http://heise.de/-1973835

Magnus Manskeschrieb am Mon, 7 Oct 2013 23:39:08 +0100:

Genau! Wir anderen 227 haben schon seit Monaten email-Adressen kopiert, nut Multichill haben wir nix gesagt!

Es genügt ja, wenn unter den 228 Leuten ein schwarzes Schaf war, das die E-Mail-Adressen verkauft und die Passwort-Streuwerte missbraucht hat, um auszutesten, ob sich ein paar der Passwörter errechnen lassen...

Hallo, Am 08.10.2013 00:39, schrieb Magnus Manske:

Hast Du auch von den Toolserver-Benutzern so eine hohe Meinung? Oder ist das nur auf die Verräter bei Labs beschränkt?

als Server-Admin gehe ich davon aus, das schwarze Schafe unter meinen Usern existieren – ansonsten könnte man sich Zugriffsrechte sparen und jeder dürfte Alles lesen und sehen. Das mag jetzt hart formuliert sein, aber Misstrauen ist ein Basisbestandteil von Serverbetreuung – erst recht wann man Geheimnisse (=Sensible Daten) anvertraut bekommt.

ist natürlich in der gleichen Kategorie wie ein Hackerangriff, bei dem massiv Kreditkarten-Daten erbeutet wurden.

Nein, es ist nicht dasselbe. Bei Abode musste man noch Arbeit investieren, bei der WMF hab’ es die Dinge frei Haus.

Mit freundlichen Grüßen DaB.

Hallo, Am 08.10.2013 01:16, schrieb Henriette Fiebig:

Man loggt sich doch mit dem Benutzernamen+Passwort ein, oder? Das Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes eine Mail an die hinterlegte Mailadresse geschickt wird und von dort bestätigt werden muß.

Verlustig gegangen sind Passwort-Hash, eMail-Adresse und Sitzungstoken. Letzters hilft einem nur sehr beschränkt also ignorieren wir’s mal. Bei einfachen Passwörtern kann ich sehr schnell einen passenden Hash berechnen um mich bei der WMF einzuloggen (Benutzernamen sind ja bekannt). Wäre ich der Angreifer würde ich dann auch mal gleich schauen, ob nicht der email-Zugang mit dem Gleichen Passwort funktioniert (die Adresse habe ich ja). Die WMF hat auch nicht das Passwort zurückgesetzt, sondern die Sitzung (also das Sitzungstoken gelöscht), und das Passwort "gesperrt". Das heißt das man sich neu einloggen musste (weil das Sitzungstoken ja weg war) und man aufgefordert wurde ein neues Passwort zu setzen (denn das alte ist ja gesperrt). Es gab aber keine Verifikation über eMail. Jeder der das Passwort kannte (oder in Zukunft noch kennen lernen wird), hatte Zugang zu dem Account – um dann ein neues Passwort zu setzen. Für uns Daueruser ist das uninteressant (weil wir die Passwörter verändert haben), aber bei einem ruhendem Account kann ich das Passwort auch noch nächstes Jahr machen – wenn ich den Hash habe.

Die eMail-Geschichte ist noch aus einem anderen Grund interessant: Es ist ein Datenschutzproblem. Nicht jeder Benutzer findet es geil, wenn seine eMail-Adresse bekannt ist. Das jemand die Adressen verticken könnte, ist jedoch unwahrscheinlich.

Aber diese Mail würde doch an die Mailadresse geschickt, die im SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den Mailaccount des Benutzers hacken, um die Bestätigungsmail abzufangen.

Nein, es gab keine Bestättigungs-eMail. Die "Wir hatten ein Problem, resette dein Passwort"-eMail wurde auch nicht an die SUL-Adresse geschickt, sondern an die lokale eMail-Adresse.

Mal abgesehen davon ist das natürlich ein starkes Stück was da passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI zusammendenke, dann wirds mir schlecht.

Lustig wäre es auch gewesen, wäre Wikimedias OpenID-Umsetzung schon weiter – dann hätte ein potenzieller Angreifer noch Zugriff auf viel mehr Daten gehabt.

Mit freundlichen Grüßen DaB.