Am 07.10.2013 20:57, schrieb Stepro: > nun lass aber bitte mal die Kirche im Dorf! Über die Schwere des > Vorfalls gibt es wohl sehr unterschiedliche Sichtweisen. > Es bestand die theoretische Möglichkeit, dass ein paar Labs-Entwickler > die Mailadressen von Nutzern einsehen konnten. Selbst wenn das außer > Multichill, der dankenswerter Weise sofort die WMF informiert hat, noch > andere gemerkt haben sollten: Diese Spezies gehört üblicherlichweise > nicht zu den Kriminellen. Was vermutlich passiert ist: Überhaupt nichts. > Was im absoluten Worst-Case passiert sein könnte: Ein Labs-Entwickler > hat jetzt die Mailadressen von Nutzern auf seiner Festplatte.
nicht "ein paar", min. 228 Stück! Ich erinnere mich noch sehr gut was die WMF für ein Theater gemacht hat, weil 1(!) User die eMail-Adressen auf dem Toolserver sehen konnte – und das war der Administrator! Das Entweichen von Passwort-Hashes und eMail-Adressen IST der Worst-Case-Fall (nur Kreditkarten-Daten wären noch schlimmer). Natürlich braucht es da eine Pressemitteilung (hier [1] z.B. gerade heute von Adobe). Und wenn schon nicht die Presse, dann informiert man wenigstens die Projekte. Und ja, die Passwörter der Accounts wurden zurückgesetzt – und wie setzt mal eMail-Adressen zurück, die sich jetzt irgendwo befinden (könnten)? Und wenn nur 1 Checkuser eines Projektes ein schwaches Passwort benutzt hat, dann hatten potentiell 228 LabsEntwickler Zugriff auf die Checkuser-Daten eines Projektes – für bis zu 5 Monate. Aber auch jeder andere Account (Admins, Oversigther, Bürokraten, Stewards, etc.) könnte übernommen worden sein – und es immer noch sein (und immer noch werden). Aber nein, lohnt die Aufregung nicht…. Mit freundlichen Grüßen DaB. [1] http://heise.de/-1973835 -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885
signature.asc
Description: OpenPGP digital signature
_______________________________________________ WikiDE-l mailing list [email protected] https://lists.wikimedia.org/mailman/listinfo/wikide-l
