Un usuario fue capaz de tener acceso a nuestra base de datos LDAP y ha publicado las direcciones de correo, los nombres, y aparentemente los hash de las contraseñas de cualquiera que se haya registrado en identity.mageia.org.
Sin embargo los hash publicados no concuerdan con los que tenemos registrados, así que no esta claro que las contraseñas actuales sean las que fueron comprometidas. Como precaución todas las contraseñas se han reinicializado.
Se han añadido nuevas reglas para evitar el acceso al servidor LDAP. Los administradores de sistemas están investigando como se pudo leer esta información ya que la configuración debió de haberlo evitado.
Todas las contraseñas en el servidor LDAP de Mageia son cifradas mediante hash y salt, implicando que de haber sido expuestas, el descifrado de las contraseñas para poder ser utilizadas requerirá de bastante poder de computo para las contraseñas más complejas. A pesar de que parece que la información expuesta solo son los nombres y las direcciones de correo de los usuarios de identity.mageia.org, recomendamos ampliamente a los usuarios ser cautelosos si usaban la contraseña de su cuenta Mageia en algún otro sitio, y recomendamos cambiar la contraseña en todos los sitios en los que la usaran.
Para acceder nuevamente a su cuenta Mageia, el enlace proporcionado a continuación deberá ser suficiente para todo usuario que no haya tenido acceso a nuestro repositorio git. El enlace para restituir su contraseña puede obtenerse requiriendo una nueva contraseña en https://identity.mageia.org/
Los usuarios que tuvieran privilegios deberán contactar a un administrador de sistemas para recuperar su acceso.
Pingback: Ronda Semanal 2018 – Semanas 7 y 8 | Mageia Blog (Español)