Hoi,
Dit bericht is openbaar omdat het ook oud-deelnemers betreft. Het is lang mogelijk geweest, waarschijnlijk sinds de LDAP-server in gebruik was genomen in 2011, om zonder authenticatie de gehele gebruikerslijst op te vragen. Er was geen enkele beveiliging voor read-only-toegang; dit is de standaardconfiguratie van OpenLDAP. Ook was de server zonder TLS/SSL benaderbaar, en dat werd ook her en der zo gebruikt.
We gebruiken LDAP voor het inloggen op Spacenet (WiFi), shellservers, en forum.revspace.nl. De LDAP-server is bereikbaar vanaf ons eigen netwerk (dus ook via de open WiFi), en via het internet vanaf het IP-adres van onze webserver.
In de LDAP-data slaan we de volgende gegevens op:
- Gebruikersnaam (nickname)
- E-mailadres
- Wachtwoord (gehasht)
- SSH public key
Echter, in het verleden werden ook voor- en achternaam opgeslagen (zoals opgegeven bij inschrijving, dus mogelijk met een andere voornaam dan de officiële). Het is niet precies duidelijk vanaf wanneer dat is geweest, maar het was in ieder geval zo vanaf 8 mei 2023 en waarschijnlijk veel eerder. Van de meeste entries van de database is de realname pas 19 maart 2024 verwijderd. Echter, niet van iedereen heeft de volledige naam er altijd ingestaan, omdat de meeste nieuwe accounts wel alleen met nickname werden aangemaakt; pas bij synchronisatie kwam er dan een realname bij, maar we hebben nooit structureel gesynchroniseerd. Bij sommige accounts zijn voor- en achternaam er bij het aanmaken al handmatig ingezet. De backups gaan niet ver terug, dus we kunnen niet echt nagaan welke namen op welk moment beschikbaar waren.
Wat we ook niet weten, is of deze gegevens ooit door iemand zijn uitgelezen vanaf de onbeveiligde LDAP-server. Het is dus ook niet te bepalen of dit gaat om een datalek, of een potentieel datalek. Voor zover ons bekend, is er nooit een melding gedaan van dit lek, maar dat sluit niet uit dat het gelekt is.
Het bestuur was al op de hoogte van bovenstaande sinds mei 2023, toen het synchronisatiescript werd gecommit in onze git repo met bestuursdingen, en heeft kort daarna besloten de realnames weer te wissen. Nu is echter gebleken dat het actiepunt nooit is uitgevoerd, en dat de rest van het bestuur het al die tijd ook niet meer heeft gecontroleerd. We waren afgeleid door andere zaken, maar dat is geen geldig excuus. We zijn het blijkbaar collectief vergeten, waardoor het probleem zelfs na het ontdekken te lang heeft bestaan.
Bovendien: de voor- en achternamen zijn ook gekopieerd geweest naar ons nieuwe forum, al is het weergeven van namen daar gelukkig uitgeschakeld, waardoor het niet waarschijnlijk is dat die gegevens via die route zijn gelekt.
Er hadden geen onnodige gegevens in moeten staan, en de gegevens hadden niet zonder authenticatie toegankelijk moeten zijn. En toen we het wisten, had het veel sneller opgelost moeten worden. Bovendien hebben we niet meer gedacht aan disclosure totdat we door een deelnemer werden gewezen op de noodzaak daarvan. We hebben dus behoorlijk gefaald. Sorry!
Het probleem is inmiddels verholpen, door middel van een verse installatie op een nieuwe (virtuele) server. Aangezien er sinds de recente bestuurswissel binnen het bestuur geen LDAP-expertise (meer) is, hebben we daarbij hulp gevraagd en gekregen van een deelnemer. Het is nu veel beter geregeld: anonieme toegang staat dicht, voor elke service die LDAP gebruikt is er een apart service-account met wachtwoord, en de LDAP-server accepteert alleen nog maar versleutelde verbindingen. Het script dat voor- en achternamen in de LDAP-database zette, is onschadelijk gemaakt.
Als je naar aanleiding van dit bericht vragen hebt, kun je die natuurlijk stellen via board@revspace.nl of persoonlijk aan een van de bestuursleden.
Nogmaals excuses,
Groetjes,
Het voltallige bestuur van
Stichting Revelation Space