admin :heart_cyber: (@admin@kolektiva.social)
kolektiva.social
🚨 Kolektiva.social SECURITY ALERT 🚨 This is an alert for Kolektiva.social users. Please read this post in its entirety! In mid-May 2023, the home of one of Kolektiva.social's admins was raided, and all their electronics were seized by the FBI. The raid was part of an investigation into a local protest. Kolektiva was neither a subject nor target of this investigation. Today, that admin was charged in relation to their alleged participation in this protest. Unfortunately, at the time of the raid, our admin was troubleshooting an issue and working with a backup copy of the Kolektiva.social database. This backup, dated from the first week of May 2023, was in an *unencrypted* state when the raid occurred and it was seized, along with everything else. The database is the heart of a Mastodon server. A database copy such as the one seized may include any of the following user data, in this case up to date as of early May 2023: - User account information like the e-mail address associated with your account, your followers and follows, etc. - All your posts: public, unlisted, followers-only, *and direct ("DMs")*. - Possibly IP addresses associated with your account - IP addresses on Kolektiva.social are logged for 3 days and then deleted, so IP addresses from any logins in the 3 days prior to the database backup date would be included. - A hashed ("encrypted") version of your password. 🚨 👉 As a precaution we highly recommend that all users on Kolektiva.social *change their password immediately* to a new, unique, and strong password. We sincerely apologize to all our users and regret this breach. In hindsight, it was obviously a mistake to leave a copy of the database in an unencrypted state. Unfortunately, what would otherwise have been a small mistake happened to coincide with a raid, due to bad luck and spectacularly bad timing. We understand that our users and other people on the Fediverse will have a lot of questions. We will try to answer them as best we can, but please be patient and bear in mind that we may be overwhelmed with messages, and may be delayed in responding or unable to provide answers to certain questions for legal or technical reasons. As a security culture reminder, it can be extremely harmful to the individuals charged and to our community to openly speculate on the Internet about alleged criminal activity or about what law enforcement may be able to do with seized data. Our present awareness is that the seized Kolektiva data is unrelated to the federal investigation and prosecution and we are exploring legal avenues to have the seized data returned and copies destroyed. Thank you for your understanding and solidarity :black_sparkling_heart: 👇 Please see our replies to this post for additional information (1/?) 👇

[automatyczne tłumaczenie]

ALERT BEZPIECZEŃSTWA Kolektiva.social 🚨

To jest ostrzeżenie dla użytkowników Kolektiva.social. Prosimy o przeczytanie tego postu w całości!

W połowie maja 2023 r. miał miejsce nalot na dom jednego z administratorów Kolektiva.social, a cała jego elektronika została przejęta przez FBI. Nalot był częścią dochodzenia w sprawie lokalnego protestu. Kolektiva nie była ani przedmiotem, ani celem tego dochodzenia. Dziś administratorowi postawiono zarzuty w związku z jego domniemanym udziałem w tym proteście.

Niestety, w czasie nalotu nasz administrator rozwiązywał problem i pracował z kopią zapasową bazy danych Kolektiva.social. Ta kopia zapasowa, datowana na pierwszy tydzień maja 2023 r., była w niezaszyfrowanym stanie, gdy nastąpił nalot i została przejęta wraz ze wszystkim innym.

Baza danych jest sercem serwera Mastodon. Kopia bazy danych, taka jak ta przejęta, może zawierać dowolne z następujących danych użytkownika, w tym przypadku aktualne na początek maja 2023 r:

  • Informacje o koncie użytkownika, takie jak adres e-mail powiązany z kontem, obserwujący i obserwowani itp.
  • Wszystkie posty użytkownika: publiczne, nienotowane, tylko dla obserwujących, i bezpośrednie (“DM”).
  • Ewentualnie adresy IP powiązane z kontem - adresy IP na Kolektiva.social są rejestrowane przez 3 dni, a następnie usuwane, więc adresy IP z wszelkich logowań w ciągu 3 dni przed datą kopii zapasowej bazy danych zostaną uwzględnione.
  • Zaszyfrowana wersja hasła.

🚨 👉 Jako środek ostrożności zalecamy wszystkim użytkownikom Kolektiva.social natychmiastową zmianę hasła na nowe, unikalne i silne hasło.

Szczerze przepraszamy wszystkich naszych użytkowników i żałujemy tego naruszenia. Patrząc z perspektywy czasu, pozostawienie kopii bazy danych w stanie niezaszyfrowanym było oczywistym błędem. Niestety to, co w innym przypadku byłoby drobnym błędem, zbiegło się w czasie z nalotem, z powodu pecha i spektakularnie złego wyczucia czasu.

Rozumiemy, że nasi użytkownicy i inne osoby na Fediverse będą miały wiele pytań. Postaramy się odpowiedzieć na nie najlepiej, jak potrafimy, ale prosimy o cierpliwość i pamiętanie, że możemy być przytłoczeni wiadomościami i możemy opóźnić odpowiedź lub nie być w stanie udzielić odpowiedzi na niektóre pytania z powodów prawnych lub technicznych. Przypominamy, że otwarte spekulowanie w Internecie na temat domniemanej działalności przestępczej lub tego, co organy ścigania mogą zrobić z przejętymi danymi, może być niezwykle szkodliwe dla oskarżonych osób i naszej społeczności. Obecnie wiemy, że zajęte dane Kolektiva nie mają związku z federalnym dochodzeniem i oskarżeniem, i badamy prawne możliwości zwrotu zajętych danych i zniszczenia ich kopii.

Dziękujemy za zrozumienie i solidarność

  • SlaVistaPL
    41 year ago

    Jak niby zmiana hasła czy tokenów do 2FA ma pomóc? Przecież FBI ma już kopię bazy danych, więc mogą na spokojnie sobie wertować przez setki tysięcy jak nie miliony rekordów - i to w dodatku bez potrzeby włamywania się na konta. Kolektiva to nie byle jaka instancja, bo deklaruje że jest tam aktywnych 6.6 tysięcy użytkowników.

  • @SzwendaczPolski
    31 year ago

    Zaszyfrowana wersja hasła Uwielbiam kiedy ludzie nie odróżniają szyfrowania od hashowania, a kiedy zaczynają mylić szyfrowanie z kodowaniem to już wgl robi się ciekawie

    • @SzwendaczPolski
      -81 year ago

      Ale anarchistów to mi nie szkoda

        • @SzwendaczPolski
          -11 year ago

          Twój komentarz jest świetnym dowodem na to jak bardzo ludzie zamykający się w obozach takich jak “anarchiści” są nieświadomi świata poza ich obozem. Naprawdę wydaje ci się, że nie ma innych obozów a jedynie barbarzyńcy którzy oblegają tą jedną biedną ostoję normalności?

  • Obi Łan Łąki Kenobi
    21 year ago

    @harcesz lol, tak się kończy jak kraftowe selfhosty robią amatorzy
    jak ktoś nie uznaje wpisów na fedi z definicji jako publiczne to jest szalony
    tutaj nawet nie ma E2E dla DM
    ja naszczęście szyfruję DM GPG, więc taki raid FBI nic mi nie zrobi poza metadanymi
    🐴

    • harcOPM
      21 year ago

      No niestety trochę tak. Ale też jeżeli zachwala się pewne rzeczy, że to takie proste i każdy może to robić to czasami będzie się kończyć głupimi pomysłami. Z drugiej strony, akurat te osoby powinny były znacznie lepiej wiedzieć i ogarniać.

      • Obi Łan Łąki Kenobi
        21 year ago

        @harcesz a dlaczego powinny lepiej wiedzieć? Z tego co wiem i założyłem, może mylnie, to nie byli inżyierowie z doświadczeniem zawodowym w devops tylko aktywiści.

        • harcOPM
          21 year ago

          Jedno nie wyklucza drugiego - jest trochę sysadminów/devopsów-aktywistów. Są aktywistyczne projekty technologiczne od lat zapewniające kluczową infrastrukturę dla aktywistów. Ale też w końcu aktywiści podejmujący się jakiegokolwiek hostingu anarchistycznych inicjatyw powinni doskonale rozumieć jakie zagrożenie może to na nich indywidualnie ściągać. Kryptografia powinna tu być czymś oczywistym i dawniej była dla aktywistów naturalną praktyką, podobnie jak nie trzymanie danych w jurysdykcji, która może być dla nich bezpośrednim zagrożeniem (patrz IP szmeru). Powinni też edukować się na temat zagrożeń związanych z CF, na co jak jestem pewien wielokrotnie zwracano im uwagę.
          Podejmując takie projekty przyjmuje się odpowiedzialność za bezpieczeństwo mniej rozgarniętych osób. Wiadomo - zawsze i przed wszystkim nie da się obronić. Ale należy dołożyć chociaż podstawowych starań w tym celu…

          • Obi Łan Łąki Kenobi
            11 year ago

            @harcesz ja rozumiem, że są wyjątki, ale zwykle, statystycznie aktywiści to nie są inżynierowie po latach doświadczenia w devops tylko domorosła partyzantka.

              • harcOPM
                21 year ago

                Z całym szacunkiem, ale masz chyba bardzo błędne wyobrażenie o tym kim są “aktywiści” i czym się zajmują.

                • Obi Łan Łąki Kenobi
                  01 year ago

                  @harcesz serio? Bo mi tutaj właśnie aktywści z kollektiwy wrzucali najdurniejsze teorie spiskowe jak np.: że większość soi idzie dla zwierząt i do tej pory nie zrobili korekty jak im w źródłach, które cytują pokazałem, że jakiś miastowy nie zna angielskiego.
                  Do tego najczęściej uwielbiają znachorską medycynę, reiki, i inne lewicowe KAnony.
                  Zapewniam Cię, że znam bardzo dobrze ich twórczość.

                  Aktywizm to nie jest nauka.
                  Aktywizm to statystycznie propaganda, confirmation bias, cherry picking, slippery slop, i wszystkie falusy logiczne jakie wymarzymy, brak procesu demokratycznego.

        • Obi Łan Łąki Kenobi
          11 year ago

          @harcesz w sumie to nie zdziwiłbym się jak to był honeypot FBI albo przez kogoś kto został zmuszony do koercji albo niedawno ktoś poszedł na współpracę i akurat taki dostał rozkaz, żeby rozszyfrować bazy akurat w dzień rajdu służb. Typowe metody.

          • harcOPM
            11 year ago

            Skąd przekonanie, że tak wyglądają typowe metody? Gdyby to był honeypot FBI to nie bawiliby się w takie ogłoszenia, tylko w momencie zamknięcia ‘dochodzenia’ wstawili jedną ze swoich niesławnych plansz. Podobnie, gdyby zmuszono kogoś do współpracy - nie dowiedzielibyśmy się do znacznie późniejszego momentu, gdzie wyszłoby to w jakiejś sprawie. Bardziej możliwe, że dali radę kogoś złamać/zastraszyć podczas rajdu, ale niestety najbardziej - że po prostu faktycznie wykazali taki poziom niekompetencji.

    • harcOPM
      11 year ago

      Ewidentnie w USA, bo gdzie indziej FBI raczej nie robi nalotów “po demonstracji”.