[automatyczne tłumaczenie]

ALERT BEZPIECZEŃSTWA Kolektiva.social 🚨

To jest ostrzeżenie dla użytkowników Kolektiva.social. Prosimy o przeczytanie tego postu w całości!

W połowie maja 2023 r. miał miejsce nalot na dom jednego z administratorów Kolektiva.social, a cała jego elektronika została przejęta przez FBI. Nalot był częścią dochodzenia w sprawie lokalnego protestu. Kolektiva nie była ani przedmiotem, ani celem tego dochodzenia. Dziś administratorowi postawiono zarzuty w związku z jego domniemanym udziałem w tym proteście.

Niestety, w czasie nalotu nasz administrator rozwiązywał problem i pracował z kopią zapasową bazy danych Kolektiva.social. Ta kopia zapasowa, datowana na pierwszy tydzień maja 2023 r., była w niezaszyfrowanym stanie, gdy nastąpił nalot i została przejęta wraz ze wszystkim innym.

Baza danych jest sercem serwera Mastodon. Kopia bazy danych, taka jak ta przejęta, może zawierać dowolne z następujących danych użytkownika, w tym przypadku aktualne na początek maja 2023 r:

  • Informacje o koncie użytkownika, takie jak adres e-mail powiązany z kontem, obserwujący i obserwowani itp.
  • Wszystkie posty użytkownika: publiczne, nienotowane, tylko dla obserwujących, i bezpośrednie (“DM”).
  • Ewentualnie adresy IP powiązane z kontem - adresy IP na Kolektiva.social są rejestrowane przez 3 dni, a następnie usuwane, więc adresy IP z wszelkich logowań w ciągu 3 dni przed datą kopii zapasowej bazy danych zostaną uwzględnione.
  • Zaszyfrowana wersja hasła.

🚨 👉 Jako środek ostrożności zalecamy wszystkim użytkownikom Kolektiva.social natychmiastową zmianę hasła na nowe, unikalne i silne hasło.

Szczerze przepraszamy wszystkich naszych użytkowników i żałujemy tego naruszenia. Patrząc z perspektywy czasu, pozostawienie kopii bazy danych w stanie niezaszyfrowanym było oczywistym błędem. Niestety to, co w innym przypadku byłoby drobnym błędem, zbiegło się w czasie z nalotem, z powodu pecha i spektakularnie złego wyczucia czasu.

Rozumiemy, że nasi użytkownicy i inne osoby na Fediverse będą miały wiele pytań. Postaramy się odpowiedzieć na nie najlepiej, jak potrafimy, ale prosimy o cierpliwość i pamiętanie, że możemy być przytłoczeni wiadomościami i możemy opóźnić odpowiedź lub nie być w stanie udzielić odpowiedzi na niektóre pytania z powodów prawnych lub technicznych. Przypominamy, że otwarte spekulowanie w Internecie na temat domniemanej działalności przestępczej lub tego, co organy ścigania mogą zrobić z przejętymi danymi, może być niezwykle szkodliwe dla oskarżonych osób i naszej społeczności. Obecnie wiemy, że zajęte dane Kolektiva nie mają związku z federalnym dochodzeniem i oskarżeniem, i badamy prawne możliwości zwrotu zajętych danych i zniszczenia ich kopii.

Dziękujemy za zrozumienie i solidarność

  • Obi Łan Łąki Kenobi
    link
    fedilink
    21 year ago

    @harcesz lol, tak się kończy jak kraftowe selfhosty robią amatorzy
    jak ktoś nie uznaje wpisów na fedi z definicji jako publiczne to jest szalony
    tutaj nawet nie ma E2E dla DM
    ja naszczęście szyfruję DM GPG, więc taki raid FBI nic mi nie zrobi poza metadanymi
    🐴

    • harcOPM
      link
      21 year ago

      No niestety trochę tak. Ale też jeżeli zachwala się pewne rzeczy, że to takie proste i każdy może to robić to czasami będzie się kończyć głupimi pomysłami. Z drugiej strony, akurat te osoby powinny były znacznie lepiej wiedzieć i ogarniać.

      • Obi Łan Łąki Kenobi
        link
        fedilink
        21 year ago

        @harcesz a dlaczego powinny lepiej wiedzieć? Z tego co wiem i założyłem, może mylnie, to nie byli inżyierowie z doświadczeniem zawodowym w devops tylko aktywiści.

        • harcOPM
          link
          21 year ago

          Jedno nie wyklucza drugiego - jest trochę sysadminów/devopsów-aktywistów. Są aktywistyczne projekty technologiczne od lat zapewniające kluczową infrastrukturę dla aktywistów. Ale też w końcu aktywiści podejmujący się jakiegokolwiek hostingu anarchistycznych inicjatyw powinni doskonale rozumieć jakie zagrożenie może to na nich indywidualnie ściągać. Kryptografia powinna tu być czymś oczywistym i dawniej była dla aktywistów naturalną praktyką, podobnie jak nie trzymanie danych w jurysdykcji, która może być dla nich bezpośrednim zagrożeniem (patrz IP szmeru). Powinni też edukować się na temat zagrożeń związanych z CF, na co jak jestem pewien wielokrotnie zwracano im uwagę.
          Podejmując takie projekty przyjmuje się odpowiedzialność za bezpieczeństwo mniej rozgarniętych osób. Wiadomo - zawsze i przed wszystkim nie da się obronić. Ale należy dołożyć chociaż podstawowych starań w tym celu…

          • Obi Łan Łąki Kenobi
            link
            fedilink
            11 year ago

            @harcesz ja rozumiem, że są wyjątki, ale zwykle, statystycznie aktywiści to nie są inżynierowie po latach doświadczenia w devops tylko domorosła partyzantka.

              • harcOPM
                link
                21 year ago

                Z całym szacunkiem, ale masz chyba bardzo błędne wyobrażenie o tym kim są “aktywiści” i czym się zajmują.

                • Obi Łan Łąki Kenobi
                  link
                  fedilink
                  01 year ago

                  @harcesz serio? Bo mi tutaj właśnie aktywści z kollektiwy wrzucali najdurniejsze teorie spiskowe jak np.: że większość soi idzie dla zwierząt i do tej pory nie zrobili korekty jak im w źródłach, które cytują pokazałem, że jakiś miastowy nie zna angielskiego.
                  Do tego najczęściej uwielbiają znachorską medycynę, reiki, i inne lewicowe KAnony.
                  Zapewniam Cię, że znam bardzo dobrze ich twórczość.

                  Aktywizm to nie jest nauka.
                  Aktywizm to statystycznie propaganda, confirmation bias, cherry picking, slippery slop, i wszystkie falusy logiczne jakie wymarzymy, brak procesu demokratycznego.

                  • harcOPM
                    link
                    3
                    edit-2
                    1 year ago

                    najdurniejsze teorie spiskowe jak np.: że większość soi idzie dla zwierząt i do tej pory nie zrobili korekty jak im w źródłach, które cytują pokazałem, że jakiś miastowy nie zna angielskiego.

                    To może warto sprawdzić po angielsku; https://ourworldindata.org/soy#more-than-three-quarters-of-global-soy-is-fed-to-animals
                    Ale to pozamerytoryczne i nic nie wnosi do dyskusji, bo utożsamianie ogółu aktywistów z dowodem anegdotycznym jest stratą czasu.

                    Do tego najczęściej uwielbiają znachorską medycynę, reiki, i inne lewicowe KAnony. Zapewniam Cię, że znam bardzo dobrze ich twórczość.

                    Rozmawiasz z osobą od ponad 20 lat zaangażowaną w ruch aktywistyczny, przez większą część tego czasu anarchistyczny. W skrócie; nie. Ale na pewno takie osoby mają większą szansę zwrócić twoją uwagę.

                    Aktywizm to

                    aktywizm

                    1. «czynna postawa wobec życia»
                      sjp.pwn.pl

                    A całą reszta nieźle opisuje twoją własną wypowiedź, więc uważaj szarżując z tymi błędami w logice wypowiedzi u innych.

                  • Obi Łan Łąki Kenobi
                    link
                    fedilink
                    -11 year ago

                    @harcesz uwielbiam to co napisałeś, bo długo się tu znałem z osobami z kollektiwy i jakie oni tam niesprawdzone njusy medialne podbijali to szok.
                    Albo Kuba aktywista Internet Czas Pisać Donosiki, który pisał, że mięso złe, bo ma azotany powodujące raka, gdzie azotany głównie są w roślinach zielonych.
                    Albo RMS, który jest aktywistą i sam nie używa unjust seriwsów, tylko jak się przypatrzymy to on prosi swoich znajomych, żeby dla niego skorzystali z zamkniętych rozwiązań. Dzięki temu innym opowiada, że nie używa unjust software xD
                    Aktywiści aborcyjni, akwyiści antyaborcyjni.
                    Aktywiści Greenpeace sprzeciwiający się atomowi.
                    Aktywiści Zielonych, którzy przed woją wspierali przejście na gaz z Nordstream…
                    oh jak ja kocham aktywistów.

        • Obi Łan Łąki Kenobi
          link
          fedilink
          11 year ago

          @harcesz w sumie to nie zdziwiłbym się jak to był honeypot FBI albo przez kogoś kto został zmuszony do koercji albo niedawno ktoś poszedł na współpracę i akurat taki dostał rozkaz, żeby rozszyfrować bazy akurat w dzień rajdu służb. Typowe metody.

          • harcOPM
            link
            11 year ago

            Skąd przekonanie, że tak wyglądają typowe metody? Gdyby to był honeypot FBI to nie bawiliby się w takie ogłoszenia, tylko w momencie zamknięcia ‘dochodzenia’ wstawili jedną ze swoich niesławnych plansz. Podobnie, gdyby zmuszono kogoś do współpracy - nie dowiedzielibyśmy się do znacznie późniejszego momentu, gdzie wyszłoby to w jakiejś sprawie. Bardziej możliwe, że dali radę kogoś złamać/zastraszyć podczas rajdu, ale niestety najbardziej - że po prostu faktycznie wykazali taki poziom niekompetencji.