⚠️ Le statut des services n’est pas détecté automatiquement.

Cette page est actualisée manuellement par l’équipe technique lorsqu’un incident est constaté ou qu’une opération de maintenance est programmée afin d’en informer le public.

Si un service vous semble en panne mais n’est pas indiqué comme tel ici, merci de ✉️ nous le signaler

Post-mortem incident de sécurité sur la configuration du bucket de stockage de Framapiaf Samedi 11 mars 2023 14:21:00


Pourquoi ce communiqué

Nous avons été récemment averti·es d'un problème de configuration logiciel pouvant permettre l'accès à des données de Framapiaf.

Ce communiqué vise à préciser dans quels ordres les informations nous sont parvenues, quelles ont été les actions entreprises, à quel moment, et l'analyse que nous en faisons.

Ceci est leur histoire. Ba-doum ! © Générique de série télé bien connu.

Description technique de l’incident

Pour le stockage des médias du service Framapiaf.org, l'instance du logiciel Mastodon gérée par Framasoft, nous utilisons depuis peu Minio, un logiciel libre de stockage de type ObjectStorage.

Une erreur de policy (politique de permission et d'accès) permettait à n’importe qui de demander à Minio de lui fournir la liste des fichiers du "bucket (conteneurs de base contenant des données).

Mastodon s’appuie sur les noms de fichiers aléatoires pour assurer la sécurité des fichiers privés tels les exports. Avoir la liste des fichiers permet à n’importe qui de télécharger des fichiers contenant des données privées, comme les archives d’export des données (cf Post-mortem de Mastodon.social ci-dessous pour plus d'informations).

L’erreur vient du fait que la policy d’accès anonyme aux fichiers fournie par Minio était trop permissive : il n’aurait pas fallu utiliser cette policy pré-configurée.

Chronologie

En dehors de Framapiaf

Concernant Framapiaf

Conclusion

Selon nos analyses, aucune donnée de Framapiaf.org n'a été accédée frauduleusement via la configuration trop permissive du bucket.

Nous remercions les équipes de la Fondation Mastodon de nous avoir prévenu, ainsi que notre équipe technique de sa réactivité.


Annexe : Post-mortem de Mastodon.social (en anglais)

Early morning Feb 24 we were indirectly made aware of a misconfiguration on our object storage domain (files.mastodon.social) that allowed anyone to see the list of all uploaded files.

Within 30 minutes this mistake was corrected.

However, we have reasons to believe that the issue has existed since Feb 2, when we began upgrading our infrastructure.

Normally Mastodon relies on long, randomly generated file names with high entropy to ensure that certain files are accessed only by those who know the link. However, that misconfiguration allowed that measure to be bypassed. Most files in our object storage are public in nature–profile pictures, custom emojis, images and videos attached to public posts.

But there is a type of file that should never be accessed by anyone but its owner, and it’s the user’s archive takeout. Unfortunately, your archive takeout was among those in the system when the incident occurred.

We have immediately deleted all archive takeouts to prevent anyone from downloading them, but we have reasons to believe that at least some of them were downloaded by unauthorized parties.

Archive takeouts contain the following information:

They DO NOT contain your e-mail address or any other Personal Identifiable Information from your account, excepting anything you’ve manually put in your public profile or shared in posts.

No action is required on your part.

We apologize sincerely for this mistake. We are changing the Mastodon software to not rely on high entropy links for access control to archive takeouts any longer, as well as adding an automated check into the admin dashboard to detect similar misconfigurations and notify other server operators about them. Security is important to us and we are continuously improving our processes as we scale our organization from one employee to multiple to ensure that mistakes like this do not happen in the future.