Ieri, 1 luglio 2023, l’amministrazione di kolektiva.social ha scritto un thread per informare di un incidente accaduto che riguarda la loro istanza ed impatta, chiaramente, gli utenti. Riguarda potenzialmente anche gli utenti di altre istanze, per via di come funziona la cache di Mastodon e tutto quanto.
Non so quale sia la questione precedente attorno a questa istanza, oltre quello che questi post dicono, ma è un primo preoccupante passo verso una possibile nuova repressione statale nei confronti dell’Internet decentralizzato e ri-liberato. Potremmo tornare ai tempi degli anni '90 ma, invece che sequestare le BBS, sequestreranno le istanze del Fediverso.
Segue la traduzione in italiano di quei post.
🚨 Allarme di sicurezza di Kolektiva.social 🚨
Questo è un avviso per gli utenti di Kolektiva.social. Si prega di leggere questo post nella sua interezza!
A metà maggio 2023, l’FBI ha fatto irruzione nella casa di uno degli amministratori di Kolektiva.social e ha sequestrato tutti i dispositivi elettronici. L’irruzione faceva parte di un’indagine su una protesta locale. Kolektiva non era né soggetto né obiettivo di questa indagine. Oggi, quell’amministratore è stato accusato in relazione alla sua presunta partecipazione a questa protesta.
Purtroppo, al momento dell’irruzione, il nostro amministratore stava risolvendo un problema e stava lavorando con una copia di backup del database di Kolektiva.social. Questo backup, datato alla prima settimana di maggio 2023, era in uno stato non criptato quando è avvenuta l’irruzione ed è stato sequestrato, insieme a tutto il resto.
Il database è il cuore di un server Mastodon. Una copia del database come quella sequestrata può includere i seguenti dati utente, in questo caso aggiornati all’inizio di maggio 2023:
- Informazioni sull’account utente, come l’indirizzo e-mail associato all’account, i follower e i following, ecc.
- Tutti i post dell’utente: pubblici, non elencati, solo per i follower, e diretti (“DM”).
- Eventualmente gli indirizzi IP associati al vostro account - gli indirizzi IP su Kolektiva.social vengono registrati per 3 giorni e poi cancellati, quindi gli indirizzi IP di qualsiasi accesso nei 3 giorni precedenti la data di backup del database sarebbero inclusi.
- Una versione hash (“criptata”) della password.
🚨 👉 Per precauzione, consigliamo a tutti gli utenti di Kolektiva.social di cambiare immediatamente la propria password con una nuova, unica e forte.
Ci scusiamo sinceramente con tutti i nostri utenti e ci rammarichiamo per questa violazione. Col senno di poi, è stato ovviamente un errore lasciare una copia del database in uno stato non criptato. Purtroppo, quello che altrimenti sarebbe stato un piccolo errore è coinciso con un’incursione, a causa della sfortuna e di un tempismo spettacolare.
Siamo consapevoli che i nostri utenti e gli altri utenti del Fediverse avranno molte domande. Cercheremo di rispondere nel miglior modo possibile, ma vi preghiamo di essere pazienti e di tenere presente che potremmo essere sommersi di messaggi e che potremmo essere in ritardo nel rispondere o non essere in grado di fornire risposte a certe domande per motivi legali o tecnici. Come promemoria per la cultura della sicurezza, può essere estremamente dannoso per le persone accusate e per la nostra comunità speculare apertamente su Internet su presunte attività criminali o su ciò che le forze dell’ordine potrebbero fare con i dati sequestrati. Attualmente siamo consapevoli che i dati di Kolektiva sequestrati non sono correlati all’indagine e al procedimento federale e stiamo esplorando le vie legali per ottenere la restituzione dei dati sequestrati e la distruzione delle copie.
Grazie per la vostra comprensione e solidarietà.
Perché abbiamo ritardato la notifica ai nostri utenti? Dopo ampie discussioni interne e la consulenza di diversi avvocati del movimento, abbiamo preso la difficile decisione di ritardare l’informazione ai nostri utenti, poiché una dichiarazione pubblica anticipata avrebbe potuto peggiorare la situazione in vari modi.
Per essere chiari, i server fisici di Kolektiva non sono stati presi di mira o colpiti dal raid dell’FBI. I nostri server reali sono criptati, nel senso che i dischi rigidi sono criptati a riposo. Non abbiamo motivo di credere che i dati di Kolektiva.social siano stati compromessi, a parte il back-up del database che è stato sequestrato. I vari dispositivi elettronici e le altre unità dei nostri amministratori sono stati crittografati e abbiamo rapidamente ruotato tutte le password e le chiavi come appropriato per qualsiasi potenziale violazione di questo tipo. In altre parole, non abbiamo motivo di credere che questa sia una minaccia in evoluzione per l’integrità del nostro server o per la sicurezza dei dati dei nostri utenti.
Allora perché chiediamo agli utenti di reimpostare le loro password? Il database sequestrato non conteneva le password degli utenti, ma le password degli utenti con hashtag. Per capire meglio perché consigliamo agli utenti di cambiare la propria password, ecco una buona spiegazione: https://www.troyhunt.com/we-didnt-encrypt-your-password-we-hashed-it-heres-what-that-means/.
Senza offrire scuse, riteniamo opportuno ricordare che i dati sequestrati sono simili a quelli ottenuti in qualsiasi raid o altro accesso non autorizzato a un tipico server Mastodon. Sono gli stessi dati che qualsiasi amministratore di istanza che collabora può consegnare spontaneamente quando gli viene richiesto. Purtroppo, ci sono seri limiti a ciò che gli amministratori delle istanze Mastodon possono fare per proteggere i dati dei loro utenti. Gli utenti dovrebbero sempre prendere precauzioni per proteggere la privacy delle informazioni, soprattutto quelle sensibili, che condividono sul Fediverse o in qualsiasi altro luogo su Internet. Ci auguriamo che, se non altro, questa situazione serva da lezione ai nostri utenti e ad altri utenti del Fediverse. Per noi è stato sicuramente così. Per un’introduzione alla sicurezza operativa su Mastodon, consigliamo vivamente di consultare questa guida: https://distro.f-91w.club/masto-opsec/.
In futuro, continueremo a esplorare le nostre opzioni legali. Idealmente, presenteremmo un elenco completo di modifiche interne, politiche e best practice che intendiamo implementare per evitare risultati come questo in futuro. Queste sono sicuramente conversazioni che abbiamo iniziato a fare e che intendiamo continuare, ma vogliamo anche che le persone siano consapevoli del fatto che siamo un piccolo collettivo di volontari e che siamo drammaticamente colpiti da questi eventi. Gli sviluppi potrebbero essere lenti. Dobbiamo anche tenere in piedi Kolektiva.social e recuperare il ritardo ora che ci manca un membro fondamentale del team 💔 .
La situazione legale dei nostri amministratori è di merda, ma al momento hanno il supporto e la rappresentanza legale di cui hanno bisogno. Pubblicheremo tutte le informazioni e le richieste di sostegno che si renderanno necessarie.
Come molti sanno, i nostri movimenti politici stanno attualmente affrontando alti livelli di repressione statale, che si è tradotta in un aumento della sorveglianza digitale e di altre forme di sorveglianza, in incursioni e arresti, in accuse penali false e gonfiate, in un maggiore ricorso alla detenzione preventiva e a lunghe pene detentive. In momenti come questi, i movimenti politici sono messi alla prova e la solidarietà e la cultura della sicurezza diventano punti di riferimento importanti per il nostro lavoro volto a rendere il mondo un posto migliore per tutti.
Vi ringrazio ancora una volta per la comprensione, la solidarietà e il tempo dedicato a leggere tutto questo.
Due punti aggiuntivi:
Se siete utenti di kolektiva.social e avete già attivato l’Autenticazione a due fattori sul vostro account, dovreste reimpostare anche quella, così come la vostra password. (Considerate anche che è una buona idea in generale impostare l’autenticazione a due fattori, se ne avete la possibilità, per proteggere l’accesso al vostro account).
Alcuni utenti hanno chiesto o fatto notare, e sì, che la copia del database includerebbe anche le copie in cache dei post degli utenti di altre istanze del Fediverse, e questo include i post diretti o i “DM” che sono stati inviati a o includono un utente di Kolektiva.social.
Accogliamo con favore suggerimenti su come notificare nel modo più efficace questo fatto a (molti) utenti del Fediverse in generale, ma chiediamo anche agli amministratori di altre istanze di aiutare comunicandolo ai propri utenti, se lo ritengono opportuno 🙏