אתר SourceForge נפרץ?

לפני כ20- יום נמחקו קבצים רבים מאתר Sourceforge.net, יתכן שבעקבות פריצה (על פי השמועות. לא ידוע לי על הודעה רשמית של הנהלת האתר בנושא) המאחסן אותנו. גם mozilla.org.il נפגע, ונמחקו קבצים של הפורום הראשי וקבצים של מערכת עדכון החדשות בדף הראשי.

בתשובה לשאלתי בנושא, זו תגובת SF:

Please be advised that SourceForge.net DID NOT experience a security-related event in this case. This was purely a case of someone removing world-writable files and webserver-owned files (which could be removed by any process running on the web servers).

אם זו לא פריצה, זה לפחות פרצה גדולה באבטחה. יש לציין, כי המבנה הייחודי של SF, המאפשר לסקריפטים שהותקנו על ידי משתמש אחד לשנות קבצים של משתמש אחר, הוא נדיר ביותר, ולא ראיתי כמותו באתרי איחסון חינם אחרים. במידה רבה, האתר סומך על רצונם הטוב של המשתמשים שלא לפגוע במערכת בה הם משתמשים.

כמו כל אתר גדול, גם SF מבצע גיבויים תקופתיים של כל החומר על השרתים שלו, ובכללם החומר שנוצר על ידי הפרוייקטים המאוחסנים עליו, ומפורסם באתרי הפרוייקטים. גיבויים אלו מיועדים לשימוש פנימי, וברגיל אינם ניתנים לשימושם של המשתמשים. עם זאת, לאור המקרה המיוחד, SF העלו את הגיבויים שלהם לאתר FTP שאליו יש לחברים בפרוייקטים גישה, ואיפשרו למשתמשי SF להוריד את הגיבויים על מנת לשחזר אותם. יש לציין, כי על פי ההודעה שנשלחה למשתמשים, הגיבוי האחרון נעשה כשבועיים לפני המחיקה, אבל זה יותר טוב מכלום.

מידע נוסף ניתן למצוא בפורום הניסיון.