Re: [閒聊] 近期不要開中文wiki（atwiki官方後續公告

看板Unlight (Unlight卡片對戰)作者chc5672123 (水晶)時間12年前 (2014/03/13 18:01)推噓7(7推 0噓 1→)

留言8則, 8人參與討論串1/1

以下翻譯關於3/9資料外洩事件，來自atwiki官方的公告與後續資訊。歡迎轉載。現狀概要： 1.個人資料外流：　@wiki會員ID、mail、密碼、註冊時IP 　此外無其他個人隱私資訊外流。 2.wiki資料外流：　各wiki會員的mail、密碼、編輯內容、編輯時IP 　此外無其他個人隱私資訊外流。 3.刪除直接原因的程式、修正造成此情況的漏洞及其他可能性。 4.暫停FTP服務。 5.@wiki密碼與同公司其他服務的密碼不共通，所以其他服務未發生資料外流。 6.病毒：未發現。 7.Javascript被竄改：未發現。 —— 感謝各位經常使用@wiki。這次確認到有發生使用者的資訊及資料的外流情形。給各位使用者造成了困擾，實在非常抱歉。做為緊急處理措施，我們會將所有使用者的密碼強制性的重置。雖然比較麻煩，還是請各位更改密碼。關於更改密碼，請依照以下的流程進行。 1.經由新密碼發行頁取得新密碼。（http://atwiki.jp/forgetpw.php） 2.利用新密碼登入後，在管理頁自行再次變更密碼。此外，關於外流的個人資料，以及在安全考量上影響較為重大的範圍如下： ※外流內容使用者ID 密碼（經過加密）電子郵件地址註冊時所用IP ※影響範圍目前已註冊的使用者全體密碼由於使用了單向加密技術，很難由加密後的密碼推測出原本的密碼。但是，我們也收到通知，有特定的網站提供將被單向加密的資料復原的服務。以防萬一，請各位使用者重新設定密碼。另外關於信用卡號碼、住址、姓名等資訊，由於並未作為管理資料登錄，因此並未外流。雖然較為麻煩，但以防萬一，還是請各位變更密碼。關於這次的事件，對各位使用者造成了莫大的困擾，實在非常抱歉。再次向各位使用者致上歉意。如果有任何問題，請透過表單向我們提出。（http://desk.atfreaks.com/tickets/form/atwiki） —— （C.E.2014.03.09.Sun.14:24(+9GMT)追加）以下列出確認有使用者的管理資訊及資料外流的伺服器。重置密碼時，請務必選擇不同的密碼。重置@wiki密碼的流程記載在下方。另外，如果有在其他系統也使用與@wiki相同密碼的狀況，使用相同密碼的其他系統那邊也請變更密碼。其他系統變更密碼的流程請洽詢各系統的客服支援服務。已確認有資料外流的伺服器： www4.atwiki.jp www17.atwiki.jp www26.atwiki.jp www30.atwiki.jp www36.atwiki.jp www37.atwiki.jp www38.atwiki.jp www39.atwiki.jp www40.atwiki.jp www41.atwiki.jp www42.atwiki.jp www43.atwiki.jp www44.atwiki.jp www45.atwiki.jp www46.atwiki.jp www47.atwiki.jp www48.atwiki.jp www49.atwiki.jp www50.atwiki.jp www51.atwiki.jp www52.atwiki.jp www53.atwiki.jp www54.atwiki.jp www55.atwiki.jp www56.atwiki.jp www57.atwiki.jp www58.atwiki.jp 重置@wiki密碼的流程： 1.經由此處取得新密碼。（http://atwiki.jp/forgetpw.php） 2.登入後，請在管理頁自行變更密碼。關於這次的事件，對各位使用者造成了莫大的困擾，實在非常抱歉。再次向各位使用者致上歉意。如果有任何問題，請透過表單向我們提出。（http://desk.atfreaks.com/tickets/form/atwiki） —— （C.E.2014.03.09.Sun.19:00(+9GMT)追加）目前，關於使用者資料外流的事件已經與警方進行協商。關於今後的處理方式，將會與警方協商後進行。先前也提到過，由於密碼使用了單向加密技術，很難由加密後的密碼推測出原本的密碼。以防萬一，如果有在其他系統也使用與@wiki相同密碼的狀況，使用相同密碼的其他系統那邊也請變更密碼。其他系統變更密碼的流程請洽詢各系統的客服支援服務。重置@wiki密碼的流程： 1.經由此處取得新密碼。（http://atwiki.jp/forgetpw.php） 2.登入後，請在管理頁自行變更密碼。關於各wiki會員密碼：各wiki會員的密碼無法重置或變更。雖然比較麻煩，還是請各wiki的會員重新註冊；管理者請刪除不要了的舊會員帳號，並承認新會員的帳號。關於檔案的篡改，敝公司正進行調查與處理。目前敝公司已經掌握到的狀況如下： 1.在部分伺服器的wiki上確認到有被設置了重新指向的script。關於目前掌握到的被竄改　的頁面，已經處理完畢。 2.部分伺服器的wiki密碼再發行頁面，已確認有被竄改的情況。關於目前掌握到的被竄改　的頁面，已經處理完畢。 3.有部分網站指出Javascript被竄改的情況。敝公司調查後，目前並未發現有被竄改的狀　況。 4.有部分網站指出@wiki被植入了病毒。敝公司調查後，目前並未發現有病毒或疑似由病　毒所引起的資料傳輸的狀況。 5.有部分網站指出登入@wiki後會向open2ch發動攻擊。經向open2ch確認後，得到「目前　並未受到經由@wiki發動的攻擊」的答覆。關於這次的事件，對各位使用者造成了莫大的困擾，實在非常抱歉。再次向各位使用者致上歉意。如果有任何問題，請透過表單向我們提出。（http://desk.atfreaks.com/tickets/form/atwiki） —— （C.E.2014.03.10.Mon.20:00(+9GMT)追加） 1.關於病毒疑慮　部分網站上張貼了「在@wiki各站發現植入病毒」的圖片，情報十分混亂。　經過後續調查，目前並未發現存在有病毒。我們將會繼續進行調查。 2.關於Javascript竄改的疑慮　經敝公司後續調查，目前並未發現有遭到竄改的情況。我們將會繼續進行調查。 3.關於@wiki註冊時的使用者名稱　第一次公告中提到的「使用者名稱」指的是註冊@wiki時的「．請輸入您想要的URL（限　半形英數）」，而非使用者的姓名。　此外，註冊時也不會要求使用者提供姓名。　對於用詞引發誤會，我們感到非常抱歉。 4.關於信用卡編號外流的疑慮　部分網站上宣稱信用卡編號遭到外流，但註冊@wiki時，並不會向使用者要求／保存信　用卡編號。　因此，並無信用卡編號外流的狀況發生。 5.關於wikipedia與@wiki 　我們收到部分使用者的詢問，wikipedia與@wiki雖然使用了類似的wiki結構，但雙方之　間並無關係。　我們@wiki是免費提供像wikipedia一樣任何人都能製作／編輯網頁的系統的服務。 —— （C.E.2014.03.12.Wed.21:00(+9GMT)追加） 1.關於已確認有資料外流的伺服器　我們在所有的伺服器上都確認到有使用者的管理資訊及資料的外流。　管理資訊如下：　．電子郵件地址（譯註：這裡應該是使用者ID，官方誤植）　．經過加密的密碼　．電子郵件地址　．註冊時的IP位址　如前次向各位報告的，並無姓名、住址等屬於個人隱私資訊的資料。 2.關於各wiki資料的外流　C.E.2014.03.09.Sun.之前的部分wiki資料有外流。　外流內容：　．參加者的電子郵件地址　．參加者經過加密的密碼　．wiki頁面內容　．編輯wiki頁面時的IP位址　如前次向各位報告的，並無姓名、住址等屬於個人隱私資訊的資料。 3.關於目前處理的狀況　已經移除直接導致這次事件的程式。　另外，也已經修正能用來設置該程式的直接性弱點。　伴隨於此的直接性安全漏洞也已受到修正。　接下來，我們會調查有無間接性的漏洞存在。 4.關於FTP服務的暫時中止　由於現在正進行維修，因此暫停FTP服務。　還請各位使用者體諒。 5.關於與敝公司其他服務共用密碼的疑慮　部分網站指出本公司的@wiki的密碼與其他服務的密碼是共用的，但實際上並無共用。　過去公司內部也曾討論過共用密碼是否會比較方便，但後來放棄了。實在非常抱歉。 6.關於病毒疑慮　部分網站上報導了容易讓人誤會@wiki內被植入了病毒的圖片與情報。　但是，目前並未發現有病毒存在。　我們將會繼續進行調查。 7.關於竄改Javascript的疑慮　經敝公司後續調查，目前並未發現有竄改的狀況。　我們將會持續進行調查。 —— 總之……事件算是暫時告一段落了吧。現在UL中文wiki應該可以進去了。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.184.226.16 ※ 編輯: chc5672123 來自: 111.184.226.16 (03/13 18:07)