2013年十月发生的个人信息泄露事件
在2013年10月1日,我们了解到由于一个實行上的错误,导致约37,000名维基媒体项目用戶的个人信息(包括用户的邮箱、密码哈希值、会话令牌及最后一次登录的时间戳)能够被有权限访问维基媒体“LabsDB”设施的志愿者获取。
于2013年五月启用的LabsDB,旨在提供给志愿者们编写从我们的数据库中获取资料,并可实时生成数据报告的工具。这为我们整个维基媒体社区的创新提供了帮助。在志愿者们得到访问数据权限之前,个人信息理应被删减。但不幸的是,部分维基媒体属下的维基计划[1]用于删减个人信息的程序因架构不兼容的问题未能起作用,导致LabsDB的用户能够访问这些维基计划中部分用户的个人信息。截止2013年10月1日,228名用户访问了LabsDB,而这些数据自2013.5.29到2013.10.1都可被访问。
这个时间被一名可信的志愿者发现并汇报,我们在15分钟内即关闭了这些受影响的数据。我们暂时没有证据证明这些个人信息被大批量导出或用于恶意用途,但我们并不能完全排除这种可能性。为了预防这类事件的发生,我们将所有受影响的用户会话无效化,并要求这些受影响的用户在下次登录的时候更改他们的密码。
我们也已经向这些用户发送了邮件提醒。
我们很抱歉发生此次事故。LabsDB是我们新基礎架构的一部分而尚未成熟,故我们将审視所有数据删减的过程,以减少以后再次发生同类事件的可能性。
此致,
Erik Moeller
工程及产品开发副总裁
- ↑ 受影响的数据库包括: aswikisource bewikisource dewikivoyage elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki wikimania2014wiki
联系信息
如果閣下有任何疑问,请通过電邮联系我们:
accountsecuritywikimedia.org
你还可以通过以下方式联系维基基金会:
Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
电话: +1-415-839-6885
传真: +1-415-882-0495
问答环节
- 到底发生了什么?
在2013年10月1日,我们发现在我们的一个数据库中发生了配置上的错误,导致约40000名维基媒体项目用户的个人信息可被有权限访问“LabsDB”架构的志愿者获取。
- 什么是LabsDB?
于2013年五月启用的LabsDB,旨在提供给志愿者们编写从我们的数据库中获取资料,并可实时生成数据报告的工具。这为有助於整个维基媒体社区從下而上的创新。
- 谁发现了这个事件?
这是被一名可信任的志愿者发现并报告的,我们在报告後十数分钟内即关闭了访问这些数据的权限。
错误报告可在这里找到。
- 什么类型的数据可被LabsDB用户获取到?
有四类的用户信息可能被获取:用户邮箱、密码哈希值、会话验证码(用于保持你的登录状态)及最后一次登陆的时间戳。
要注意的是,密码哈希值并不会暴露密码明文。如果第三方获取到了这些哈希值,他们将需要进行暴力破解,如果你的密码非常简单且很不安全,破解才可能成功。密码使用相当于盐粒的MD5加密算法进行散列。
这次配置错误并不影响任何的捐赠者的数据,并且其他个人信息也不可能被访问。
- 这些数据可被访问的时间有多长?
自2013.5.29至2013.10.1,这些数据可被访问。
- 为什么经过了这么长的时间才发现这次配置错误?
只有一部分公開維基的数据库受到是次事故影响,而且只有一小部分的个人信息可能访问。我们的删减机制曾經经过测试而顯示可以正常运作,但是部分新维基的数据库在数据库架构上的小差异导致了删减过程无提示的失败了,直至一名志愿者指出这次问题。
- 谁曾经访问过这些数据?
所有LabsDB的用户都可能访问过这些数据,但是我们并没有证据证明有人访问过。
直至2013.10.1,228名用户访问过LabsDB。
- 你们采取了什么措施来避免用户数据被泄露?
在志愿者们得到访问数据权限之前,个人信息理应被删减。但不幸的是,部分维基媒体属下的维基计划用于删减个人信息的程序因架构不兼容的问题未能起作用,导致LabsDB的用户能够访问这些维基计划中部分用户的个人信息。
- 有没有人访问过这些数据?
我们没有证据证明任何用户访问过这些数据,只知道任何LabsDB用户都有可能访问過。我们在有限的数据范围内并未发现有用户资料被批量导出或者用于恶意用途,但是我们并不能完全否定这种可能性。
- 受影响的数据库有哪些?
- aswikisource
- bewikisource
- dewikivoyage
- elwikivoyage
- enwikivoyage
- eswikivoyage
- frwikivoyage
- guwikisource
- hewikivoyage
- itwikivoyage
- kowikiversity
- lezwiki
- loginwiki
- minwiki
- nlwikivoyage
- plwikivoyage
- ptwikivoyage
- rowikivoyage
- ruwikivoyage
- sawikiquote
- slwikiversity
- svwikivoyage
- testwikidatawiki
- tyvwiki
- ukwikivoyage
- vecwiktionary
- votewiki
- wikidatawiki
- wikimania2013wiki
- wikimania2014wiki
- 你们采取了什么措施来补救?
这些数据的访问权限在收到报告的15分钟内即被关闭。作为预防设施的一部分,我们将所有受影响的用户会话无效化,并要求他们在下次登录时更改密码。我们还向这些用户发送了邮件通知。
我们将审查整个删减过程,来避免以后再发生这种事故。
- 我在其他網站上也用了相同密碼,我應否也把這些密碼也換掉?
雖然是次事故中只有密碼的哈希值受到影響而有機會向第三者泄露但這些哈希值在經過暴力攻擊後有機會能還原出原本的密碼(尤其是原本密碼不是特別強的話)。我們建議你把其他使用同一密碼的網站都換一下密碼––最好不要和維基計劃共用密碼。