Hallo Manuel, anbei eine Korrektur deiner Richtigstellung. Am 04.10.2013 16:36, schrieb Manuel Schneider: ich habe KEINE eMail erhalten, musste aber mein Passwort ändern (d.h. das ich betroffen bin AFAIS). Und ich schrieb nirgendwo, dass "alle" Wikis betroffen sind, ich schrieb "diverse". Darunter ist übrigens so eine Kleinigkeit wie Wikidata (und wann haben da die meisten Leute ihre Accounts anlegt?). Ich schrieb "gut 6 Monate". Ob Daten "abgezogen" wurden, kann die WMF gar nicht wissen, sie HOFFT nur das niemand neugierig war. Im Worst-case-Fall hat jetzt jemand sämtliche eMail-Adressen und Passwort-Hashes aller Leute, die in einem der getroffenen Projekte ihr Passwort geändert haben oder sich erstmalig angemeldet haben. Also nur auf Listen die Otto-Normal-Wikipedianer nicht liest. Die WMF hielt es nicht mal für notwendig eine Site-Notice zu schalten oder wenigstens die Projekte zu informieren. Mit freundlichen Grüßen DaB. -- Diese eMail sollte mit dem PGP-Schlüssel 0x2d3ee2d42b255885 signiert sein. Misstrauen Sie unsignierten eMails! -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885

FYI der original-Mailtext: -------- Original Message -------- Subject: Notification about Wikimedia user account security issue Date: Thu, 03 Oct 2013 07:10:46 +0000 From: Wikimedia Foundation <accountsecurity(a)wikimedia.org> Dear Wikimedia user, On October 1, 2013, we learned about an implementation error that made private user information (specifically, user email addresses, password hashes, session tokens, and last login timestamp) for approximately 37,000 Wikimedia project users accessible to volunteers with access to the Wikimedia "LabsDB" infrastructure. Your user account is one of the ones which was affected. LabsDB, launched in May 2013, is designed to give volunteers the ability to write tools and generate reports that make use of data from our databases in real-time. This supports bottom-up innovation by the Wikimedia community. As part of this process, private data is automatically redacted before volunteers are given access to the data. Unfortunately, for some of Wikimedia's wikis [1], the database triggers used to redact private data failed to take effect due to a schema incompatibility, and LabsDB users had access to private user data present for some users in these specific wiki databases. As of October 1, 2013, 228 users have access to LabsDB, and the window of availability of this data was May 29, 2013 to October 1, 2013. This issue was discovered and reported by a trusted volunteer, and access to the data in question was revoked within 15 minutes of the report. We have no evidence to suggest that the private data in question was exported in bulk or used for malicious purposes, but we cannot definitively exclude the possibility. As a precautionary measure, we have invalidated all affected user sessions, and are requiring affected users like yourself to change their password on their next login. We regret this mistake. LabsDB is still a new part of our infrastructure, and we will fully audit the redaction process, so as to minimize any risk of a future mistake of this nature. This notice is also posted to: https://meta.wikimedia.org/wiki/October_2013_private_data_security_issue Sincerely, Erik Moeller Vice President of Engineering & Product Development, Wikimedia Foundation Contact information: Should you have any questions, please contact us via email to: accountsecurity(a)wikimedia.org You can also reach the Wikimedia Foundation at: Wikimedia Foundation, Inc. 149 New Montgomery Street Floor 6 San Francisco, CA 94105 United States Phone: +1-415-839-6885 Fax: +1-415-882-0495 [1] List of affected databases: aswikisource bewikisource dewikivoyage elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki

Am 05.10.2013 16:58, schrieb Stefan Knauf: Es betrifft alle Konten, die in einem der aufgezählten Projekte einmal angemeldet waren - auch automatisch per SUL. Die betreffenden Nutzer wurden in allen Projekten abgemeldet und haben eine Aufforderung zum Passwortwechsel beim nächsten Anmelden in irgendeinem Wikimedia-Projekt bekommen. Wenn Du mit Deinem bisherigen Passwort weiterarbeiten kannst, betrifft es Dich nicht. Viele Grüße, Steffen

2013/10/7 Christian Knoke <chrisk(a)cknoke.de>de>: Mein Account war betroffen, ich habe eine diesbezügliche Email erhalten. Wer hat denn einen definitiv* betroffenen account und hat definitiv* keine Email erhalten? Mathias * das beginnt bei "have you tried turning it off and on again" und geht weiter bis hin zur Frage, ob man auch tatsächlich in die inbox geschaut hat, deren emailadresse im wikimedia-account hinterlegt war, spamfolder, irgendwelche labeling-archivierungsregeln etc..

Hallo Mathias, Am 07.10.2013 08:41, schrieb Mathias Schindler: weder hat die WMF die Projekte informiert (das habe ich für dewp gemacht), noch die passenden Mailinglisten (das habe ich für diese ML gemacht), noch die Leute mit Bots auf dem TS (das habe ich auch gemacht). Ich habe auch keine Pressemitteilung gesehen, es gab keine SiteNotice, noch nicht mal einen Hinweis auf der MainPage-Talk-page (=Hauptseitendisku). Für die Schwere des Vorfalls war die Informierung der Öffentlichkeit ABSOLUT unzureichend. Was wohl einigermaßen geklappt hat war die Informierung der Accounts, die die WMF als betroffen einschätzt. Wobei da auch die Beschwichtigungsversuch „Wir glauben es ist nix passiert“ lächerlich war. Mit freundlichen Grüßen DaB. -- Diese eMail sollte mit dem PGP-Schlüssel 0x2d3ee2d42b255885 signiert sein. Misstrauen Sie unsignierten eMails!

Am 07.10.2013 20:57, schrieb Stepro: nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen auf dem Toolserver sehen konnte – und das war der Administrator! Das Entweichen von Passwort-Hashes und eMail-Adressen IST der Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von Adobe). Und wenn schon nicht die Presse, dann informiert man wenigstens die Projekte. Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)? Und wenn nur 1 Checkuser eines Projektes ein schwaches Passwort benutzt hat, dann hatten potentiell 228 LabsEntwickler Zugriff auf die Checkuser-Daten eines Projektes – für bis zu 5 Monate. Aber auch jeder andere Account (Admins, Oversigther, Bürokraten, Stewards, etc.) könnte übernommen worden sein – und es immer noch sein (und immer noch werden). Aber nein, lohnt die Aufregung nicht…. Mit freundlichen Grüßen DaB. [1] http://heise.de/-1973835 -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885

Magnus Manskeschrieb am Mon, 7 Oct 2013 23:39:08 +0100: Es genügt ja, wenn unter den 228 Leuten ein schwarzes Schaf war, das die E-Mail-Adressen verkauft und die Passwort-Streuwerte missbraucht hat, um auszutesten, ob sich ein paar der Passwörter errechnen lassen...

Hallo, Am 08.10.2013 00:39, schrieb Magnus Manske: als Server-Admin gehe ich davon aus, das schwarze Schafe unter meinen Usern existieren – ansonsten könnte man sich Zugriffsrechte sparen und jeder dürfte Alles lesen und sehen. Das mag jetzt hart formuliert sein, aber Misstrauen ist ein Basisbestandteil von Serverbetreuung – erst recht wann man Geheimnisse (=Sensible Daten) anvertraut bekommt. Nein, es ist nicht dasselbe. Bei Abode musste man noch Arbeit investieren, bei der WMF hab’ es die Dinge frei Haus. Mit freundlichen Grüßen DaB. -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885

Hallo, Am 08.10.2013 01:16, schrieb Henriette Fiebig: Verlustig gegangen sind Passwort-Hash, eMail-Adresse und Sitzungstoken. Letzters hilft einem nur sehr beschränkt also ignorieren wir’s mal. Bei einfachen Passwörtern kann ich sehr schnell einen passenden Hash berechnen um mich bei der WMF einzuloggen (Benutzernamen sind ja bekannt). Wäre ich der Angreifer würde ich dann auch mal gleich schauen, ob nicht der email-Zugang mit dem Gleichen Passwort funktioniert (die Adresse habe ich ja). Die WMF hat auch nicht das Passwort zurückgesetzt, sondern die Sitzung (also das Sitzungstoken gelöscht), und das Passwort "gesperrt". Das heißt das man sich neu einloggen musste (weil das Sitzungstoken ja weg war) und man aufgefordert wurde ein neues Passwort zu setzen (denn das alte ist ja gesperrt). Es gab aber keine Verifikation über eMail. Jeder der das Passwort kannte (oder in Zukunft noch kennen lernen wird), hatte Zugang zu dem Account – um dann ein neues Passwort zu setzen. Für uns Daueruser ist das uninteressant (weil wir die Passwörter verändert haben), aber bei einem ruhendem Account kann ich das Passwort auch noch nächstes Jahr machen – wenn ich den Hash habe. Die eMail-Geschichte ist noch aus einem anderen Grund interessant: Es ist ein Datenschutzproblem. Nicht jeder Benutzer findet es geil, wenn seine eMail-Adresse bekannt ist. Das jemand die Adressen verticken könnte, ist jedoch unwahrscheinlich. Nein, es gab keine Bestättigungs-eMail. Die "Wir hatten ein Problem, resette dein Passwort"-eMail wurde auch nicht an die SUL-Adresse geschickt, sondern an die lokale eMail-Adresse. Lustig wäre es auch gewesen, wäre Wikimedias OpenID-Umsetzung schon weiter – dann hätte ein potenzieller Angreifer noch Zugriff auf viel mehr Daten gehabt. Mit freundlichen Grüßen DaB. -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885