[automatyczne tłumaczenie]

ALERT BEZPIECZEŃSTWA Kolektiva.social 🚨

To jest ostrzeżenie dla użytkowników Kolektiva.social. Prosimy o przeczytanie tego postu w całości!

W połowie maja 2023 r. miał miejsce nalot na dom jednego z administratorów Kolektiva.social, a cała jego elektronika została przejęta przez FBI. Nalot był częścią dochodzenia w sprawie lokalnego protestu. Kolektiva nie była ani przedmiotem, ani celem tego dochodzenia. Dziś administratorowi postawiono zarzuty w związku z jego domniemanym udziałem w tym proteście.

Niestety, w czasie nalotu nasz administrator rozwiązywał problem i pracował z kopią zapasową bazy danych Kolektiva.social. Ta kopia zapasowa, datowana na pierwszy tydzień maja 2023 r., była w niezaszyfrowanym stanie, gdy nastąpił nalot i została przejęta wraz ze wszystkim innym.

Baza danych jest sercem serwera Mastodon. Kopia bazy danych, taka jak ta przejęta, może zawierać dowolne z następujących danych użytkownika, w tym przypadku aktualne na początek maja 2023 r:

  • Informacje o koncie użytkownika, takie jak adres e-mail powiązany z kontem, obserwujący i obserwowani itp.
  • Wszystkie posty użytkownika: publiczne, nienotowane, tylko dla obserwujących, i bezpośrednie (“DM”).
  • Ewentualnie adresy IP powiązane z kontem - adresy IP na Kolektiva.social są rejestrowane przez 3 dni, a następnie usuwane, więc adresy IP z wszelkich logowań w ciągu 3 dni przed datą kopii zapasowej bazy danych zostaną uwzględnione.
  • Zaszyfrowana wersja hasła.

🚨 👉 Jako środek ostrożności zalecamy wszystkim użytkownikom Kolektiva.social natychmiastową zmianę hasła na nowe, unikalne i silne hasło.

Szczerze przepraszamy wszystkich naszych użytkowników i żałujemy tego naruszenia. Patrząc z perspektywy czasu, pozostawienie kopii bazy danych w stanie niezaszyfrowanym było oczywistym błędem. Niestety to, co w innym przypadku byłoby drobnym błędem, zbiegło się w czasie z nalotem, z powodu pecha i spektakularnie złego wyczucia czasu.

Rozumiemy, że nasi użytkownicy i inne osoby na Fediverse będą miały wiele pytań. Postaramy się odpowiedzieć na nie najlepiej, jak potrafimy, ale prosimy o cierpliwość i pamiętanie, że możemy być przytłoczeni wiadomościami i możemy opóźnić odpowiedź lub nie być w stanie udzielić odpowiedzi na niektóre pytania z powodów prawnych lub technicznych. Przypominamy, że otwarte spekulowanie w Internecie na temat domniemanej działalności przestępczej lub tego, co organy ścigania mogą zrobić z przejętymi danymi, może być niezwykle szkodliwe dla oskarżonych osób i naszej społeczności. Obecnie wiemy, że zajęte dane Kolektiva nie mają związku z federalnym dochodzeniem i oskarżeniem, i badamy prawne możliwości zwrotu zajętych danych i zniszczenia ich kopii.

Dziękujemy za zrozumienie i solidarność

  • Szwendacz@szmer.info
    link
    fedilink
    Polski
    arrow-up
    1
    ·
    1 year ago

    Zaszyfrowana wersja hasła Uwielbiam kiedy ludzie nie odróżniają szyfrowania od hashowania, a kiedy zaczynają mylić szyfrowanie z kodowaniem to już wgl robi się ciekawie

  • Obi Łan Łąki Kenobi@qoto.org
    link
    fedilink
    arrow-up
    0
    ·
    1 year ago

    @harcesz lol, tak się kończy jak kraftowe selfhosty robią amatorzy
    jak ktoś nie uznaje wpisów na fedi z definicji jako publiczne to jest szalony
    tutaj nawet nie ma E2E dla DM
    ja naszczęście szyfruję DM GPG, więc taki raid FBI nic mi nie zrobi poza metadanymi
    🐴

    • harc@szmer.infoOPM
      link
      fedilink
      arrow-up
      1
      ·
      1 year ago

      No niestety trochę tak. Ale też jeżeli zachwala się pewne rzeczy, że to takie proste i każdy może to robić to czasami będzie się kończyć głupimi pomysłami. Z drugiej strony, akurat te osoby powinny były znacznie lepiej wiedzieć i ogarniać.

        • harc@szmer.infoOPM
          link
          fedilink
          arrow-up
          0
          ·
          1 year ago

          Jedno nie wyklucza drugiego - jest trochę sysadminów/devopsów-aktywistów. Są aktywistyczne projekty technologiczne od lat zapewniające kluczową infrastrukturę dla aktywistów. Ale też w końcu aktywiści podejmujący się jakiegokolwiek hostingu anarchistycznych inicjatyw powinni doskonale rozumieć jakie zagrożenie może to na nich indywidualnie ściągać. Kryptografia powinna tu być czymś oczywistym i dawniej była dla aktywistów naturalną praktyką, podobnie jak nie trzymanie danych w jurysdykcji, która może być dla nich bezpośrednim zagrożeniem (patrz IP szmeru). Powinni też edukować się na temat zagrożeń związanych z CF, na co jak jestem pewien wielokrotnie zwracano im uwagę.
          Podejmując takie projekty przyjmuje się odpowiedzialność za bezpieczeństwo mniej rozgarniętych osób. Wiadomo - zawsze i przed wszystkim nie da się obronić. Ale należy dołożyć chociaż podstawowych starań w tym celu…

              • harc@szmer.infoOPM
                link
                fedilink
                arrow-up
                0
                ·
                1 year ago

                Z całym szacunkiem, ale masz chyba bardzo błędne wyobrażenie o tym kim są “aktywiści” i czym się zajmują.

                • Obi Łan Łąki Kenobi@qoto.org
                  link
                  fedilink
                  arrow-up
                  0
                  arrow-down
                  1
                  ·
                  1 year ago

                  @harcesz serio? Bo mi tutaj właśnie aktywści z kollektiwy wrzucali najdurniejsze teorie spiskowe jak np.: że większość soi idzie dla zwierząt i do tej pory nie zrobili korekty jak im w źródłach, które cytują pokazałem, że jakiś miastowy nie zna angielskiego.
                  Do tego najczęściej uwielbiają znachorską medycynę, reiki, i inne lewicowe KAnony.
                  Zapewniam Cię, że znam bardzo dobrze ich twórczość.

                  Aktywizm to nie jest nauka.
                  Aktywizm to statystycznie propaganda, confirmation bias, cherry picking, slippery slop, i wszystkie falusy logiczne jakie wymarzymy, brak procesu demokratycznego.