Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Communityserver down  (gelezen 687 keer)

Offline Thomas de Graaff

  • Lid
  • Steunpunt: Nee
Communityserver down
« Gepost op: 2013/05/21, 21:54:18 »
De communityserver is uitgeschakeld omdat er misbruik van gemaakt werd. De server was niet goed ingesteld waardoor het mogelijk was om met slechts een gebruikersnaam en wachtwoord in te loggen. Waarschijnlijk is er van deze kwetsbaarheid gebruik gemaakt om ongeoorloofd toegang tot de server te krijgen.

Leden die een gebruikersaccount hadden aangemaakt op de test diensten die op de communityserver draaiden, en daarvoor wachtwoorden gebruikten die ze voor andere zaken ook gebruiken worden geadviseerd dit wachtwoord niet langer te gebruiken, en waar het gebruikt wordt te wijzigen. Op de communityserver draaide een test forum, en een test site voor het vraag en antwoord gedeelte.

P.s.
De communityserver staat geheel los van Ubuntu-NL, en was niet onder beheer van het Ubuntu-NL of het Ubuntu-NL beheerteam, dus die valt niet te verwijten. Verwijten graag aan mijn adres.  :-[ Mijn excuses voor het ongemak.

Offline Timo

  • Forumteam
    • timo.diedering
  • Steunpunt: Ja
Re: Communityserver down
« Reactie #1 Gepost op: 2013/05/22, 09:09:46 »
Werden de wachtwoorden dan in plain text opgeslagen?
Trotse eigenaar van een Nokia N900, een Nokia N9 en een Jolla.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Communityserver down
« Reactie #2 Gepost op: 2013/05/22, 09:45:43 »
Werden de wachtwoorden dan in plain text opgeslagen?
Nee.

Ik vermoed dat ze via een gebruiker met een zwak wachtwoord binnengekomen zijn via SSH.
Maar we zoeken nog naar het lek dus het is niet zeker. Het kan ook via een lek in de irc bot geweest zijn, of een lek in een andere service.

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Re: Communityserver down
« Reactie #3 Gepost op: 2013/05/22, 09:47:57 »
er zat geen openid techno verwerkt in het inloggen mag ik hopen?

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: Communityserver down
« Reactie #4 Gepost op: 2013/05/22, 10:00:35 »
Alleen op de testwebsite en testforum, als je dat ook zo ingesteld had voor je account. Dan zit je goed want je inloggegevens lopen dan via de OpenID provider. Die zijn dan niet bekend op de server.

Voor SSH was het blijkbaar alleen username+password, of username+key (maar dan niet verplicht)