Фонд СПО сообщил об утечке данных пользователей из-за публикации бэкапа по ошибке

Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказались некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, например, IP-адреса авторов комментариев, номера телефонов и email пользователей.

Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удален, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через.htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов.htaccess и появлению доступа к содержимому каталога с бэкпапами.

В общедоступном бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данных из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.