Вада захисту у системі профілів Mageia

До нашої бази даних LDAP зміг отримати доступ одн з користувачів, який оприлюднив адреси електронної пошти, імена, а також видимі хеші паролів усіх, хто реєструвався на identity.mageia.org. Втім, оприлюднені хеші не відповідають основним записам, великі літери було прибрано, тому не зовсім очевидно, чи насправді скомпрометовано паролі. З моменту виявлення витоку даних усі паролі було скинуто з метою захисту решти даних. Було додано нові правила, які запобігають доступу до сервера LDAP. Системні адміністратори вивчають причини читання полів бази даних, незважаючи на, здавалось би, явним чином встановлену заборону.

Паролі, які зберігаються на сервері LDAP Mageia хешовано та шифровано, що означає, що повне дешифрування паролів, якщо справді мав місце їхній виток, до придатного до використання формату потребуватиме значних обчислювальних потужностей для складних паролів. Хоча оприлюднені дані містять лише імена та адреси електронної пошти користувачів identity.mageia.org, ми наполегливо рекомендуємо користувачам вжити заходів, якщо їхній пароль до облікового запису Mageia використовувався ще десь. Також рекомендуємо змінити ймовірно скомпрометовані паролі всюди, де їх було використано.

Щоб відновити доступ до вашого облікового запису Mageia, достатньо перейти за посиланням щодо скидання пароля для усіх користувачів без доступу до git. Посилання на скидання пароля можна отримати на сторінці https://identity.mageia.org/forgot_password Це посилання буде надіслано до вашої поштової скриньки.

Для відновлення доступу привілейовані користувачі мають звернутися до системних адміністраторів.

Ми щиро вибачаємося за усі проблеми та незручності, причиною яких міг стати цей виток даних.

Цей допис є перекладом допису у англомовному блозі.

Опубліковано у вади. Додати до закладок постійне посилання.

Коментарі не дозволені.