Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии.
Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей.
Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.
В бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данные из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.
Фонд СПО сообщил об утечке данных пользователей из-за забытой резервной копии