Tietoturvailmoitus: Mennyt aukko tukittu

  • 2 184
  • 12

Ylläpito

Administrator
Nimetön tietoturvatutkija oli tiistai-keskiviikko-yöllä sähköpostilla yhteydessä meihin ja toimitti tietoja, joiden perusteella hänellä olisi saattanut olla tiedossaan keskustelupalstan palvelimen tietokannan salasana.

Yhdessä alihankkijamme kanssa tutkimme aamulla välittömästi asiaa ja löysimmekin hyvin nopeasti mistä on kyse.

Viime vuoden kesäkuuta ja silloin tehtyä palvelinpäivitystämme edeltäneellä palvelinjärjestelyllä versiohallinnan yksi tiedosto oli tuntemattomasta syystä saatavilla palvelimellamme.

Tietämällä skriptin, millä tuon .git-tiedoston sisällön pystyi noutamaan, oli mahdollista saada siellä tiedostossa ollut tietokannan salasanan haltuunsa.

Kyseinen salasana ei ole ollut käytössä siis vajaaseen vuoteen, eikä sillä enää nykyisin mihinkään pääse. Tämä vanhan salasanan sisältävä tiedosto on kuitenkin ollut saatavilla keskiviikkoaamuun asti.

On mahdollista, että joku olisi voinut ennen viime kesäkuuta samalla keinolla päästä tuohon tiedostoon ja sitä kautta tietokantaan käsiksi.

Tiedossamme ei ole, että kukaan olisi tätä aukkoa hyödyntänyt mitenkään.

Nyt pääsy tuohon tiedostoon on suljettu kaikkialta, olemme käyneet läpi palvelimiemme lokitiedostoja, olemme sulkeneet pääsyt kaikkiin muihin tuon kaltaisiin tiedostoihin myös jatkossa ja varmistettu, että mihinkään palvelimella oleviin tiedostoihin ei ole kirjattu mitään salasanoja. Näiltä osin emme siis muita tietoturvaongelmia löytäneet, kyse oli vain varotoimenpiteistä.

Olemme kiinnittäneet merkittävässä määrin huomiota palvelujemme tietoturvaan. Keskustelupalstalla oli viime kevään päivitysten yhteydessä ongelmia, joihin vastasimme silloin niin ripeästi kuin mahdollista.

Tämä tietoturvakysymys on osaltaan siis kytköksissä näihin menneisiin ongelmiin, mutta olemme täysin luottavaisia, että kaikki sen jälkeiset toimenpiteet, muutokset ylläpidossa ja toimintatavoissamme varmistavat, että tietoturvamme on kaikilta osin kunnossa.

Matti Liljaniemi
Jatkoaika ry.
 

holynordic

Jäsen
Suosikkijoukkue
Oulun Kärpät, Україна
Jos tuota aukkoa joku olisi onnistunut hyödyntämään, niin minkälaisia tietoja sieltä olisi ollut saatavilla?
 

Hangon keksi

Jäsen
Suosikkijoukkue
Länsi-Saksan ja Neuvostoliiton joukkueet
Käytännössä valtaosa palstaan liittyvästä sisällöstä: käyttäjätiedot, viestit, yksityisviestit jne. jne. Salasanoja emme ole koskaan säilyttäneet selkokielisinä missään tietokannassamme.

- Matti Liljaniemi
Onko niitä tietoja mahdollisesti päästy myös muuttamaan, eli pitääkö tarkistaa koko oma viestihistoria ettei yhdenkään viestin sisältö ole muuttunut?
 

Ylläpito

Administrator
Onko niitä tietoja mahdollisesti päästy myös muuttamaan, eli pitääkö tarkistaa koko oma viestihistoria ettei yhdenkään viestin sisältö ole muuttunut?
Jos hyökkääjä olisi saanut pääsyn tietokantaan, olisi hän siellä voinut tehdä mitä vain. Emme usko, että ensimmäisenä listalla olisi ollut yksittäisen käyttäjän viestien editointi. Ja kuten selvityksessämme totesimme, tiedossamme ei ole, että kukaan olisi tätä aukkoa hyödyntänyt mitenkään.

- Matti Liljaniemi
 

Leon

Jäsen
Suosikkijoukkue
HPK, Stars, Panthers
Kyllä kaikkien käyttäjien kuitenkin kannattaa käydä läpi viestihistoriansa, ettei vaan joku olisi käynyt muokkaamassa. Vielä pahempi skenaario: otsikkoja on voitu käydä muuttamassa ei-standardiin muotoon.
 

pernaveikko

Jäsen
Suosikkijoukkue
HIFK, Crusaders, Lechia
Vielä pahempi skenaario: otsikkoja on voitu käydä muuttamassa ei-standardiin muotoon.

Ja kannattaa muutenkin vielä tehdä tuplatarkastus. Tuossa oli liveseurantaotsikossa tiistai, vaikka piti olla torstai. Joku syyhän siihen on.
 

JZZ

Jäsen
Suosikkijoukkue
Lukko, Piraattiryhmä, Caps, ManU
Kyllä kaikkien käyttäjien kuitenkin kannattaa käydä läpi viestihistoriansa, ettei vaan joku olisi käynyt muokkaamassa. Vielä pahempi skenaario: otsikkoja on voitu käydä muuttamassa ei-standardiin muotoon.
Linkin kuvauksiakin on saatettu poistaa, ja niistähän tulee automaattisesti bannia.
 

Ck

Jäsen
Suosikkijoukkue
HIFK, Toronto Maple Leafs, NHL suomalaiset
Kyllä kaikkien käyttäjien kuitenkin kannattaa käydä läpi viestihistoriansa, ettei vaan joku olisi käynyt muokkaamassa. Vielä pahempi skenaario: otsikkoja on voitu käydä muuttamassa ei-standardiin muotoon.

Täytyykin käydä lukemassa omat viestit vuodesta miekka ja kivi, onneksi niitä on vain vajaa 6000. @Ralph sattui ikävämpi nakki melkein 40000 viestillä.

Kiitos kuitenkin ylläpidolle ilmoituksesta.
 
Kirjaudu sisään, jos haluat vastata ketjuun. Jos sinulla ei ole vielä käyttäjätunnusta, rekisteröidy nyt! Kirjaudu / Rekisteröidy
Ylös