Important – News from hell

**AGGIORNAMENTO IMPORTANTE PER LA VOSTRA SICUREZZA**
**IMPORTANT UPDATE FOR YOUR SECURITY**
**ACTUALIZACION IMPORTANTE PARA VUESTRA SEGURIRDAD**

Ancora brutte notizie.
Durante il processo di reinstallazione dell’infrastuttura abbiamo identificato un’altra vulnerabilità. Da circa due mesi era infatti in corso un tentativo di accaparramento delle password degli account di posta, durato fino a pochi giorni fa. Se vi siete loggati su autistici.org per leggere la posta della webmail, la vostra password è da considerarsi probabilmente compromessa. Ora possiamo comunque dire che questo specifico problema ora è stato risolto ed era sicuramente uno strascico dell’intrusione che vi avevamo precedentemente segnalato.

Dobbiamo quindi consigliarvi nuovamente di cambiare le password dei vostri account, e di scegliere password forti.

Se non vi ricordate come cambiare la password del vostro account, leggete queste istruzioni: https://www.autistici.org/docs/userpanel#passwordchange

Inoltre vi suggeriamo di prendere seriamente in considerazione l’utilizzo dell’autenticazione a due fattori per proteggere il vostro account: coloro che l’avevano impostata non sono stat* infatti interessat* dalla vulnerabilità oggetto di questo aggiornamento.

Ve lo abbiamo detto e ripetuto, a costo di sembrare pedanti, ma la riservatezza delle vostre comunicazioni non dipende solo da noi. Noi ce la stiamo mettendo tutta per mettere in sicurezza l’infrastruttura, voi intanto dovreste provvedere a mettere in sicurezza i vostri account.

Quanto accaduto nelle ultime settimane è significativo: quel che è successo non è ordinaria amministrazione. Non possiamo garantire di aver individuato tutti i problemi – alcuni dei quali sono evidentemente di livello sistemico – che affliggevano la sicurezza della nostra infrastruttura. Per questo crediamo sia necessaria una risposta adeguata. E la nostra risposta, come già accaduto in passato, sarà la completa revisione, che realizzeremo nei prossimi mesi, dell’architettura su cui si basa l’infrastruttura di A/I.

Pubblicheremo in seguito una descrizione più dettagliata del piano e aggiornamenti sull’andamento dei lavori.

Lavori in corso

Ecco un breve elenco dei lavori che abbiamo portato a termine nelle ultime settimane per mettere in sicurezza l’infrastruttura:

  • Tutte le macchine che compongono l’infrastuttura sono state reinstallate.
  • I bug e le vulnerabilita’ emersi durante il processo di reinstallazione sono stati risolti.
  • Tutte le password di amministrazione sono state modificate.
  • Abbiamo cominciato il processo di pianificazione del design della nuova infrastruttura.


[English version]

More bad news.
While reinstalling our infrastructure, we identified yet another vulnerability. For about two months, and until few days ago, someone had been trying to gather the passwords of all mail accounts. If you logged into autistici.org to read your mail via web in the last two months, you should consider your passwords virtually compromised. However we can now say that this specific problem has been solved and was certainly a consequence of the intrusion we warned you about some weeks ago.

So we have to recommend you again to change the passwords of your accounts, and to choose strong ones.

If you can’t remember how to change your password, you can read this howto: https://www.autistici.org/docs/userpanel#passwordchange

We also suggest that you seriously consider activating two-factor authentication to protect your account: the vulnerability we’re talking about in this newsletter didn’t affect those who had set up this security measure.

We have repeated this several times – the privacy of your communications does not just depend on us. We are doing all we can to secure the infrastructure – meanwhile you should think of securing your accounts.

What has happened in the last few weeks is telling – what we have experienced was not business as usual. We cannot say for sure that we have identified all the problems of our infrastructure – some of which are clearly systemic. This is why we think it is necessary to respond accordingly. And our response, as in the past, will be a complete overhaul, in the next few months, of the architecture underlying A/I’s infrastructure.

We will publish as soon as possible a more detailed description of our plan and updates on the work we’re doing.

Work in progress

Here’s a short list of what we have done in the last few weeks to secure our infrastructure:

  • All the servers of the infrastructure have been reinstalled.
  • Bugs and vulnerabilities identified during the resinstallation have been solved.
  • All administration passwords have been changed.
  • We have started planning the design of the new infrastructure.

[Español]

Otra vez malas noticias.
Durante el proceso de reinstalacion de la infraestructura hemos identificado otra vulnerabilidad. Desde alrededor de hace dos meses, y hasta hace unos pocos dias, alguien ha estado intentando colectar todas las contrasenas de las cuentas de correo. Si habeis usado la webmail en los ultimos dos meses, vuestra contrasena ha de considerarse comprometida. Ahora hemos solucionado el problema, que ha sido consequencia de la intrusion de la que os hemos avisado hace algunas semanas.

Por lo tanto, tenemos que aconsejaros nuevamente de cambiar las contrasenas de vuestras cuentas, y de elegir contrasenas fuertes.

Si no recordais como cambiar la contrasena de vuestra cuenta, podeis leer esta guia: https://www.autistici.org/docs/userpanel#passwordchange

Ademas, os aconsejamos fuertemente considerar el uso de la autenticacion en dos factores para proteger vuestra cuenta: quienes ya la habian impostada no han sido afectadas por la vulnerabilidad que acabamos de describir.

Lo hemos dicho y repetido varias veces: la seguridad de vuestras comunicaciones no depende solamente de nosotras. Nosotras estamos haciendo todo lo posible para volver a meter la infraestructura en seguridad, pero vosotras teneis que meter en seguridad vuestras cuentas.

Lo que ha pasado en las ultimas semanas es significativo: no estamos delante de normal administraccion. No podemos garantizar haber encontrado todos los problemas que habia en nuestra infraestructura, algunos de los cuales son claramente sistemicos. Por eso creemos que es necesario una respuesta adeguada. Y nuestra respuesta, como ya en pasado, sera la completa revision de la arquitectura de A/I, que llevaremos a cabo en los proximos meses.

Vamos a publicar una descripcion mas detallada de nuestro plano  y actualizaciones sobre el desarrollo del trabajo.

 

Obras en curso

Aqui un breve elenco de trabajos de hemos llevado a cabo en las ultimas semanas para meter en segurirad la infraestructura:

  • Todas las maquinas que componen la infraestructura han sido reinstaladas.
  • Los bugs y las vulnerabilidades encontrados durante el proceso de reinstallacion han sido resueltos.
  • Todas las constrasenas de administracion han sido cambiadas.
  • Hemos empezado el proceso de planificacion de la nueva
    infraestructura.

 

Email this to someoneTweet about this on TwitterShare on Google+

2 Responses to “Important – News from hell”

  1. Giorgio Says:

    Grazie del lavoro. Pensate di rilasciare una descrizione più approfondita di cosa sia successo? Siete riusciti a capire che tipo di attacco sia stato: quali modalità e strumenti e a quale scopo? Da quest’ultime informazioni magari si può fare anche qualche inferenza sulla provenienza…

  2. Anonymous Says:

    Thank you for letting us know and working hard.

Leave a Reply