Problema de seguridad de datos privados en Octubre de 2013

This page is a translated version of the page October 2013 private data security issue and the translation is 95% complete.
Outdated translations are marked like this.

El 1 de octubre de 2013, nos enteramos de un error de implementación que hizo que la información privada (específicamente las direcciones de correo electrónico del usuario, criptografías de contraseñas, idenficadores de sesión y el registro de fecha y hora de la última sesión) de aproximadamente 37.000 usuarios de los proyectos de Wikimedia fuera accesible a los voluntarios con una cuenta de la infraestructura Wikimedia «LabsDB».

LabsDB, lanzada en mayo de 2013, está diseñado para dar a los voluntarios la posibilidad de escribir herramientas y generar informes que hacen uso de los datos de nuestras bases de datos en tiempo real. Esto da apoyo para la innovación desde la base por la comunidad Wikimedia. Como parte de este proceso, los datos privados se alteran de forma automática antes de dar acceso a los voluntarios a los datos. Lamentablemente, los activadores de las bases de datos utilizados para cambiar los datos privados no entraron en acción en algunas de las wikis de Wikimedia, [1] debido a una incompatibilidad de diseño, y los usuarios de LabsDB han tenido acceso a los datos privados de los usuarios de algunas cuentas de usuario en estas bases de datos wiki específicas. Desde el 1 de octubre de 228 usuarios tienen acceso a LabsDB, y la franja de disponibilidad de estos datos fue del 29 mayo de 2013 hasta el 1 octubre de 2013.

Un voluntario de confianza descubrió e informó de este problema, y el acceso a los datos se canceló 15 minutos después. No tenemos evidencias que sugieran que los datos personales en cuestión fueran exportados en cantidad o utilizados con fines maliciosos, pero no lo podemos descartar totalmente. Como medida de precaución, se han invalidado todas las sesiones de los usuarios afectados, y estamos solicitando a los usuarios afectados que cambien su contraseña al volver a entrar.

También hemos notificado por correo electrónico a los usuarios afectados que tienen un dirección de correo validada.

Lamentamos este error. LabsDB es todavía una parte nueva de nuestra infraestructura, y vamos a auditar completamente el proceso de cambios, con el fin de minimizar el riesgo de un error de esta naturaleza en el futuro.

Sinceramente,
Erik Moeller
Vicepresidente de Ingeniería y Desarrollo de Producto.

  1. Lista de bases de datos afectadas: aswikisource bewikisource dewikivoyage elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki wikimania2014wiki

Información de contacto

Si tienes alguna pregunta, por favor ponte en contacto con nosotros por correo electrónico:

accountsecurity wikimedia.org

También puedes encontrar la Fundación Wikimedia en:

Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
Teléfono: +1-415-839-6885
Fax: +1-415-882-0495

Preguntas y Respuestas

¿Qué ha ocurrido?

El 1 de octubre de 2013, nos enteramos de un error de configuración que hizo que información privada específica de aproximadamente 40.000 usuarios de los proyectos de Wikimedia fuera accesible a voluntarios con acceso a la infraestructura Wikimedia «LabsDB».

¿Qué es LabsDB?

LabsDB, que fue presentado en mayo de 2013, está diseñado para dar a los voluntarios la posibilidad de escribir herramientas y generar informes que hacen uso de los datos de nuestras bases de datos en tiempo real. Esto da apoyo para la innovación desde la base por la comunidad Wikimedia.

¿Quién descubrió el problema?

Un voluntario de confianza descubrió e informó de esto, y el acceso a los datos en cuestión fue cancelado minutos después.

The bug report can be found here.

¿Qué clase de información tuvieron disponible los usuarios de LabsDB?

La información que ha estado potencialmente disponible es: Direcciones de correo electrónico de usuario, criptografías de contraseñas, idenficadores de sesión (los que se usan para mantenerte identificado) y el registro de fecha y hora de la última sesión.

Ten en cuenta que las criptografías no dejan ver las contraseñas en texto legible. Si un tercero consiguiera una copia de las criptografías, tendría que utilizar un ataque por fuerza bruta para conseguir las contraseñas válidas de esas criptografías, que probablemente tendría éxito con las contraseñas que son muy simples e inseguras.

Este error de configuración no ha afectado a ningún dato de donante, y ningún otro tipo de dato privado estuvo disponible.

¿Cuanto tiempo estuvo disponible esa información?

La franja de disponibilidad de estos datos ha sido del 29 de mayo de 2013, al 1 de octubre de 2013.

¿Por que se ha tardado tanto tiempo en descubrir el error de configuración?

Sólo un subconjunto de nuestras wikis privadas se vio afectado por el problema de edición, y sólo un subconjunto de los datos privados estuvo accesible. El mecanismo de cambios fue probado y parecía estar funcionar como debía, pero se añadió un conjunto de nuevas wikis que tenían una pequeña diferencia en el esquema de se base de datos causó el fallo parcial del proceso de forma desapercibida, hasta que un voluntario informó del descubrimiento del problema.

¿Quién habría tenido acceso a esa información?

Los usuarios de LabsDB podrían haber sido capaces potencialmente de acceder a esta información de usuario, pero no hay evidencias que sugieran que alguien accedió a los datos.

Desde el 1 de octubre, 471 usuarios tienen acceso a LabsDB.

¿Qué clase de protocolos de seguridad tenéis para evitar que estén disponibles los datos de usuario?

Como parte de este proceso, los datos privados se alteran de forma automática antes de dar acceso a los voluntarios a los datos. Lamentablemente, los activadores de las bases de datos utilizados para cambiar los datos privados no entraron en acción en algunas de las wikis de Wikimedia, y los usuarios de LabsDB tuvieron acceso a datos privados de usuario presentes para algunos usuarios estas bases de datos wiki específicas.

¿Alguien ha accedido a información personal?

No tenemos indicios de que terceros hayan accedido realmente a esta información, solo sabemos que estuvo potencialmente accesible a aquellos que poseen una cuenta en LabsDB. En la medida de nuestras posibilidades, hemos buscado evidencias que sugieran que se han exportado los datos privados en bruto o se han usado de forma malintencionada, y aunque no hemos encontrado evidencias de ese tipo, no podemos descartar la posibilidad.

¿Cuales han sido las bases de datos afectadas?
  • aswikisource
  • bewikisource
  • dewikivoyage
  • elwikivoyage
  • enwikivoyage
  • eswikivoyage
  • frwikivoyage
  • guwikisource
  • hewikivoyage
  • itwikivoyage
  • kowikiversity
  • lezwiki
  • loginwiki
  • minwiki
  • nlwikivoyage
  • plwikivoyage
  • ptwikivoyage
  • rowikivoyage
  • ruwikivoyage
  • sawikiquote
  • slwikiversity
  • svwikivoyage
  • testwikidatawiki
  • tyvwiki
  • ukwikivoyage
  • vecwiktionary
  • votewiki
  • wikidatawiki
  • wikimania2013wiki
  • wikimania2014wiki
¿Qué habéis hecho para solucionar el error de configuración?

El acceso a los datos en cuestión fue cancelado quince minutos después de conocerse el problema. Como medida de precaución, hemos invalidado todas las sesiones de los usuarios afectados, y les estamos solicitando que cambien su contraseña al volver a entrar. También hemos enviado una notificación por correo electrónico los usuarios afectados que tienen una cuenta de correo validada.

También vamos a auditar completamente el proceso de cambios para minimizar riesgos en casa de un futuro error de esta naturaleza.

Utilizo la misma contraseña en otro sitios, ¿debería cambiarla allí también?

Aunque solo las criptografías de las contraseñas han estado potencialmente expuestas a terceros, estas son vulnerables a ataques por fuerza bruta que podrían descubrir las contraseñas (en especial si la contraseña no es particularmente buena). Te recomendamos cambiar tus contraseñas en cualquier otro sitio donde la uses – y mejor si eliges una distinta a la que usas en los proyectos de Wikimedia.