[automatyczne tłumaczenie]
ALERT BEZPIECZEŃSTWA Kolektiva.social 🚨
To jest ostrzeżenie dla użytkowników Kolektiva.social. Prosimy o przeczytanie tego postu w całości!
W połowie maja 2023 r. miał miejsce nalot na dom jednego z administratorów Kolektiva.social, a cała jego elektronika została przejęta przez FBI. Nalot był częścią dochodzenia w sprawie lokalnego protestu. Kolektiva nie była ani przedmiotem, ani celem tego dochodzenia. Dziś administratorowi postawiono zarzuty w związku z jego domniemanym udziałem w tym proteście.
Niestety, w czasie nalotu nasz administrator rozwiązywał problem i pracował z kopią zapasową bazy danych Kolektiva.social. Ta kopia zapasowa, datowana na pierwszy tydzień maja 2023 r., była w niezaszyfrowanym stanie, gdy nastąpił nalot i została przejęta wraz ze wszystkim innym.
Baza danych jest sercem serwera Mastodon. Kopia bazy danych, taka jak ta przejęta, może zawierać dowolne z następujących danych użytkownika, w tym przypadku aktualne na początek maja 2023 r:
- Informacje o koncie użytkownika, takie jak adres e-mail powiązany z kontem, obserwujący i obserwowani itp.
- Wszystkie posty użytkownika: publiczne, nienotowane, tylko dla obserwujących, i bezpośrednie (“DM”).
- Ewentualnie adresy IP powiązane z kontem - adresy IP na Kolektiva.social są rejestrowane przez 3 dni, a następnie usuwane, więc adresy IP z wszelkich logowań w ciągu 3 dni przed datą kopii zapasowej bazy danych zostaną uwzględnione.
- Zaszyfrowana wersja hasła.
🚨 👉 Jako środek ostrożności zalecamy wszystkim użytkownikom Kolektiva.social natychmiastową zmianę hasła na nowe, unikalne i silne hasło.
Szczerze przepraszamy wszystkich naszych użytkowników i żałujemy tego naruszenia. Patrząc z perspektywy czasu, pozostawienie kopii bazy danych w stanie niezaszyfrowanym było oczywistym błędem. Niestety to, co w innym przypadku byłoby drobnym błędem, zbiegło się w czasie z nalotem, z powodu pecha i spektakularnie złego wyczucia czasu.
Rozumiemy, że nasi użytkownicy i inne osoby na Fediverse będą miały wiele pytań. Postaramy się odpowiedzieć na nie najlepiej, jak potrafimy, ale prosimy o cierpliwość i pamiętanie, że możemy być przytłoczeni wiadomościami i możemy opóźnić odpowiedź lub nie być w stanie udzielić odpowiedzi na niektóre pytania z powodów prawnych lub technicznych. Przypominamy, że otwarte spekulowanie w Internecie na temat domniemanej działalności przestępczej lub tego, co organy ścigania mogą zrobić z przejętymi danymi, może być niezwykle szkodliwe dla oskarżonych osób i naszej społeczności. Obecnie wiemy, że zajęte dane Kolektiva nie mają związku z federalnym dochodzeniem i oskarżeniem, i badamy prawne możliwości zwrotu zajętych danych i zniszczenia ich kopii.
Dziękujemy za zrozumienie i solidarność
Moja instancja taka piękna…
@harcesz A o tym, że wszystkie dane do/z serwera są czytane również przez #cloudflare to kolektiva.social też gdzieś informuje ludzi ? 🙄 W sensie że używa ich proxy: notabug.org/dCF/deCloudflare/s…
@miklo @harcesz As that link for sure have my interest, is it then possible you could write this in english??
https://0xacab.org/my-privacy-dns/deCloudflare/-/blob/master/readme/pl.md
@harcesz lol, tak się kończy jak kraftowe selfhosty robią amatorzy
jak ktoś nie uznaje wpisów na fedi z definicji jako publiczne to jest szalony
tutaj nawet nie ma E2E dla DM
ja naszczęście szyfruję DM GPG, więc taki raid FBI nic mi nie zrobi poza metadanymi
🐴
No niestety trochę tak. Ale też jeżeli zachwala się pewne rzeczy, że to takie proste i każdy może to robić to czasami będzie się kończyć głupimi pomysłami. Z drugiej strony, akurat te osoby powinny były znacznie lepiej wiedzieć i ogarniać.
@harcesz a dlaczego powinny lepiej wiedzieć? Z tego co wiem i założyłem, może mylnie, to nie byli inżyierowie z doświadczeniem zawodowym w devops tylko aktywiści.
Jedno nie wyklucza drugiego - jest trochę sysadminów/devopsów-aktywistów. Są aktywistyczne projekty technologiczne od lat zapewniające kluczową infrastrukturę dla aktywistów. Ale też w końcu aktywiści podejmujący się jakiegokolwiek hostingu anarchistycznych inicjatyw powinni doskonale rozumieć jakie zagrożenie może to na nich indywidualnie ściągać. Kryptografia powinna tu być czymś oczywistym i dawniej była dla aktywistów naturalną praktyką, podobnie jak nie trzymanie danych w jurysdykcji, która może być dla nich bezpośrednim zagrożeniem (patrz IP szmeru). Powinni też edukować się na temat zagrożeń związanych z CF, na co jak jestem pewien wielokrotnie zwracano im uwagę.
Podejmując takie projekty przyjmuje się odpowiedzialność za bezpieczeństwo mniej rozgarniętych osób. Wiadomo - zawsze i przed wszystkim nie da się obronić. Ale należy dołożyć chociaż podstawowych starań w tym celu…
@harcesz w sumie to nie zdziwiłbym się jak to był honeypot FBI albo przez kogoś kto został zmuszony do koercji albo niedawno ktoś poszedł na współpracę i akurat taki dostał rozkaz, żeby rozszyfrować bazy akurat w dzień rajdu służb. Typowe metody.
Zaszyfrowana wersja hasła Uwielbiam kiedy ludzie nie odróżniają szyfrowania od hashowania, a kiedy zaczynają mylić szyfrowanie z kodowaniem to już wgl robi się ciekawie
Twój komentarz jest świetnym dowodem na to jak bardzo ludzie zamykający się w obozach takich jak “anarchiści” są nieświadomi świata poza ich obozem. Naprawdę wydaje ci się, że nie ma innych obozów a jedynie barbarzyńcy którzy oblegają tą jedną biedną ostoję normalności?