[Linux Mint] HWUpgrade Clan

[IngMetallo]

Interpretando, immagino che intendano i repository FTP che navighi via HTTP.
Hanno detto che i repository di backup sono sicuri, l'unica iso compromessa dovrebbe quindi essere quella che si scaricava da un link modificato sulla pagina del download.

[ase]

Anche il database del forum è stato bucato. Tutti gli utenti del forum Mint (ci sono anche io.. ) devono cambiare la password.
Siccome anche le email sono state rubate, occhio a chi usa la stessa password per tutti i siti..

http://blog.linuxmint.com/?p=3001?

[IngMetallo]

Brutta storia, c'ero anche io... per fortuna che ho diverse password (da quando ho scoperto keepassx )
Spero sinceramente che aggiornino tutto il software relativo ai loro siti web. È il loro punto debole (anche a livello estetico e funzionale)

[ase]

ma sì, io ancora non ho cambiato nulla, la password è bella incasinata e unica, ho solo due post nel forum e l'email è quella di un remailer, quindi non mi preoccupo troppo. Poi comunque la cambierò (quando tornano on-line, il server è ancora giù).

[ase]

E' ufficiale, mi hanno fregato i dati dell'account.




Qui potete verificarlo anche voi, basta inserire l'email con la quale vi siete registrati al forum di Mint.

https://haveibeenpwned.com/

[zappy]

Quote:

Originariamente inviato da IngMetallo

Brutta storia, ...

più che per il forum, per il fatto che siano stati bucati.
non è "rassicurante", anche alla luce delle polemiche che c'erano state tempo fa con il team di ubuntu sul tema degli aggiornamenti e di sicurezza vs. stabilità...

[IngMetallo]

Certo nuoce all'immagine, ma meglio così: saranno stimolati (spero) a fare di meglio per rimettersi in carreggiata

Riguardo gli aggiornamenti puoi spiegarti meglio ? Hai qualche link ?

Quote:

Originariamente inviato da ase

E' ufficiale, mi hanno fregato i dati dell'account.




Qui potete verificarlo anche voi, basta inserire l'email con la quale vi siete registrati al forum di Mint.

https://haveibeenpwned.com/

Uh bellissimo quel sito, non lo conoscevo comunque confermato anche per me.

[ase]

Il problema è che Mint privilegia la stabilità alla sicurezza per cui i kernel non sono aggiornati di default ma l'utente deve forzare l'aggiornamento, i codici sono presi da Debian e Ubuntu e poi mischiati. Insomma un bel casino.
Qui c'è un intervento interessante di uno sviluppatore Debian che spiega le cose (in inglese):

Quote:

"Well, Linux Mint is generally very bad when it comes to security and quality.

First of all, they don't issue any Security Advisories, so their users cannot - unlike users of most other mainstream distributions [1] - quickly lookup whether they are affected by a certain CVE.

Secondly, they are mixing their own binary packages with binary packages from Debian and Ubuntu without rebuilding the latter. This creates something that we in Debian call a "FrankenDebian" which results in system updates becoming unpredictable [2]. With the result, that the Mint developers simply decided to blacklist certain packages from upgrades by default thus putting their users at risk because important security updates may not be installed.

Thirdly, while they import packages from Ubuntu or Debian, they hi-jack package and binary names by re-using existing names. For example, they called their fork of gdm2 "mdm" which supposedly means "Mint Display Manager". However, the problem is that there already is a package "mdm" in Debian which are "Utilities for single-host parallel shell scripting". Thus, on Mint, the original "mdm" package cannot be installed.

Another example of such a hi-jack are their new "X apps" which are supposed to deliver common apps for all desktops which are available on Linux Mint. Their first app of this collection is an editor which they forked off the Mate editor "pluma". And they called it "xedit", ignoring the fact that there already is an "xedit" making the old "xedit" unusable by hi-jacking its namespace.

Add to that, that they do not care about copyright and license issues and just ship their ISOs with pre-installed Oracle Java and Adobe Flash packages and several multimedia codec packages which infringe patents and may therefore not be distributed freely at all in countries like the US.

To conclude, I do not think that the Mint developers deliver professional work. Their distribution is more a crude hack of existing Debian-based distributions. They make fundamental mistakes and put their users at risk, both in the sense of data security as well as licensing issues.

I would therefore highly discourage anyone using Linux Mint until Mint developers have changed their fundamental philosophy and resolved these issues."

Adrian

Fonte: https://lwn.net/Articles/676613/

Poi hanno fatto degli errori da dilettanti. L'accesso al server era protetto da una password di 6 caratteri con dentro la parola Mint (credo fosse upMint).
Il Forum è stato bucato il 16 di gennaio 2016, se ne sono accorti solo l'altro ieri.

[zappy]

Quote:

Originariamente inviato da ase

E' ufficiale, mi hanno fregato i dati dell'account.

Qui potete verificarlo anche voi, basta inserire l'email con la quale vi siete registrati al forum di Mint.
https://haveibeenpwned.com/

non ho ben capito che fa 'sto sito... tu metti la tua mail e loro ti dicono se è stata "risucchiata" da qualche crack di qualche sito o db?

e loro come fanno a sapere cosa c'era nel db di questo o quel sito craccato?? hmmm...

[zappy]

Quote:

Originariamente inviato da ase

Il problema è che Mint privilegia la stabilità alla sicurezza per cui i kernel non sono aggiornati di default ma l'utente deve forzare l'aggiornamento, i codici sono presi da Debian e Ubuntu e poi mischiati. Insomma un bel casino.
Qui c'è un intervento interessante di uno sviluppatore Debian che spiega le cose (in inglese):

Fonte: https://lwn.net/Articles/676613/

Poi hanno fatto degli errori da dilettanti. L'accesso al server era protetto da una password di 6 caratteri con dentro la parola Mint (credo fosse upMint).
Il Forum è stato bucato il 16 di gennaio 2016, se ne sono accorti solo l'altro ieri.

finora sapevo che c'erano stati "attriti" con quelli di ubuntu, peraltro comprensibili visto che si appoggiano ai loro repository... ma qui le critiche arrivano direttamente da debian...
forse è ora di provare qualcosa di diverso...

[ase]

Quote:

Originariamente inviato da zappy

e loro come fanno a sapere cosa c'era nel db di questo o quel sito craccato?? hmmm...

https://haveibeenpwned.com/FAQs

[zappy]

Quote:

Originariamente inviato da ase

https://haveibeenpwned.com/FAQs

ho dato una lettura veloce ma non ho trovato una spiegazione chiara di come ottengono le mail dalla breccia in un sito.

[ase]

ok, alcuni utenti del forum Mint riportano che iniziano a ricevere email su accrediti bancari, vincite di premi, ecc. ecc.
Occhio con gli allegati, specie chi usa Windows.

[TOPSEK]

Oh no — pwned!
Pwned on 2 breached sites and found no pastes (subscribe to search sensitive breaches)

Devo preoccuparmi?

Inviato dal mio SM-G900F con Tapatalk 2

[ase]

dipende da che brecce sei stato bucato, dalla qualità e unicità della tua password, ecc. ecc.

[TOPSEK]

Mi spiegheresti meglio cosa dice quel messaggio visto che il mio inglese e praticamente inesistente.


Breaches you were pwned in
A "breach" is an incident where a site's data has been illegally accessed by hackers and then released publicly. Review the types of data that were compromised (email addresses, passwords, credit cards etc.) and take appropriate action, such as changing passwords.
Gamigo logo
Gamigo: In March 2012, the German online game publisher Gamigo was hacked and more than 8 million accounts publicly leaked. The breach included email addresses and passwords stored as weak MD5 hashes with no salt.
Compromised data: Email addresses, Passwords

Money Bookers logo
Money Bookers: Sometime in 2009, the e-wallet service known as Money Bookers suffered a data breach which exposed almost 4.5M customers. Now called Skrill, the breach was not discovered until October 2015 and included names, email addresses, home addresses and IP addresses.
Compromised data: Dates of birth, Email addresses, Home addresses, IP addresses, Names, Phone numbers

Credo di aver capito,e pensare che non cambio la pass di questa mail dal 2010.

[zappy]

Quote:

Originariamente inviato da TOPSEK

Credo di aver capito,e pensare che non cambio la pass di questa mail dal 2010.

no, non hai capito
la pass compromessa è quella dei due siti, non quella della tua mail!

in pratica ti dicono che eri registrato a quei due siti che a causa di una breccia si sono fatti fregare i dati con cui ti eri registrato.

qual che non ho capto è come fa 'sto sito a sapere che tu (o meglio la tua mail) era presente nei dati che sono stati craccati dai due siti... mi pare un modo per raccogliere mail a strascico da utenti preoccupati...

[TOPSEK]

Quote:

Originariamente inviato da zappy

no, non hai capito
la pass compromessa è quella dei due siti, non quella della tua mail!

in pratica ti dicono che eri registrato a quei due siti che a causa di una breccia si sono fatti fregare i dati con cui ti eri registrato.

qual che non ho capto è come fa 'sto sito a sapere che tu (o meglio la tua mail) era presente nei dati che sono stati craccati dai due siti... mi pare un modo per raccogliere mail a strascico da utenti preoccupati...

Si avevo capito,e capisco cosa vuoi dire con la raccolata delle email ma e pure vero che io ero registrato a quei 2 siti e l'altra mail mi segna solo il forum di linux mint.
Come riescano non lo so ma pare attendibile.

[ase]

al di là delle paranoie di zappy il sito è serio ed attendibile, potete verificarlo con una semplice ricerca.
L'autore è autorevole, ci mette competenza e faccia.

https://haveibeenpwned.com/About

Poi ci si può fidare o no, questo è una scelta individuale.

Quote:

How do I know the site isn't just harvesting searched email addresses?

You don't, but it's not. The site is simply intended to be a free service for people to assess risk in relation to their account being caught up in a breach. As with any website, if you're concerned about the intent or security, don't use it.

[Taxon]

Raga, se volessi passare dal desktop XFCE 64bit al MATE 64bit come posso fare senza reinstallare tutto e senza perdere dati ed applicazioni ?