Communityserver down

[Thomas de Graaff]

De communityserver is uitgeschakeld omdat er misbruik van gemaakt werd. De server was niet goed ingesteld waardoor het mogelijk was om met slechts een gebruikersnaam en wachtwoord in te loggen. Waarschijnlijk is er van deze kwetsbaarheid gebruik gemaakt om ongeoorloofd toegang tot de server te krijgen.

Leden die een gebruikersaccount hadden aangemaakt op de test diensten die op de communityserver draaiden, en daarvoor wachtwoorden gebruikten die ze voor andere zaken ook gebruiken worden geadviseerd dit wachtwoord niet langer te gebruiken, en waar het gebruikt wordt te wijzigen. Op de communityserver draaide een test forum, en een test site voor het vraag en antwoord gedeelte.

P.s.
De communityserver staat geheel los van Ubuntu-NL, en was niet onder beheer van het Ubuntu-NL of het Ubuntu-NL beheerteam, dus die valt niet te verwijten. Verwijten graag aan mijn adres.  Mijn excuses voor het ongemak.

[Timo]

Werden de wachtwoorden dan in plain text opgeslagen?

[Johan van Dijk]

Werden de wachtwoorden dan in plain text opgeslagen?

Nee.

Ik vermoed dat ze via een gebruiker met een zwak wachtwoord binnengekomen zijn via SSH.
Maar we zoeken nog naar het lek dus het is niet zeker. Het kan ook via een lek in de irc bot geweest zijn, of een lek in een andere service.

[Soul-Sing]

er zat geen openid techno verwerkt in het inloggen mag ik hopen?

[Johan van Dijk]

Alleen op de testwebsite en testforum, als je dat ook zo ingesteld had voor je account. Dan zit je goed want je inloggegevens lopen dan via de OpenID provider. Die zijn dan niet bekend op de server.

Voor SSH was het blijkbaar alleen username+password, of username+key (maar dan niet verplicht)