Violação de segurança da identidade Mageia

Um usuário conseguiu obter acesso ao nosso banco de dados LDAP e publicou os endereços e nomes de e-mail, bem como aparentes hashes de senha, de quem se inscreveu em identity.mageia.org. No entanto, os hashes publicados não correspondem aos registrados e todas as letras maiúsculas foram removidas, portanto, não está claro se as senhas reais foram comprometidas. Todas as senhas foram redefinidas como uma precaução de segurança. Novas regras foram adicionadas para impedir o acesso ao servidor LDAP. Os sysadmins estão investigando como os campos foram lidos, já que a configuração deveria ter evitado especificamente isso.

As senhas armazenadas pelo servidor Mageia LDAP são criptografadas por hash e salt, o que significa que a descriptografia completa da senha, em um formato legível para humanos – se é que elas realmente foram vazadas – exigiria poder de computação significativo para senhas seguras e complexas. Apesar de os dados vazados serem apenas nomes e endereços de e-mail de usuários de identity.mageia.org, recomendamos que os usuários sejam cautelosos se a senha usada para sua conta Mageia for usada em outro lugar, e recomendamos a mudança de senhas onde quer que seja usada.

Para recuperar o acesso à sua conta Mageia, o link de redefinição de senha deve ser suficiente para todos os usuários sem acesso git. O link de redefinição de senha pode ser obtido pedindo uma reinicialização de senha em https://identity.mageia.org/forgot_password após o que, você receberá um e-mail com o link.

Os usuários que têm privilégios devem entrar em contato com um administrador de sistemas para recuperar seu acesso.

Pedimos sinceras desculpas por quaisquer problemas e inconveniências que isso possa causar.

(escrito em inglês por Patricia Fraser e traduzido por macxi, que agradece a ajuda de Carlos Filho)

Esta entrada foi publicada em Sem categoria. ligação permanente.

Os comentários estão fechados