Tiedote 2.9.2021
(English summary at the end of the page.)
Hyvä vastaanottaja,
Saat tämän viestin, koska olet vuosien 2015–2021 aikana käyttänyt Traconin Confluencea osoitteessa confluence.tracon.fi. Confluence on palvelinohjelmisto, jota Tracon ry käyttää tarjoamaan wikitiloja Suomessa järjestettäville conitapahtumille käytettäväksi esimerkiksi tapahtuman järjestäjien tiedonjakoon sekä työvoimaohjeistukseen (työvoimawiki). Traconin Confluencea käyttäneitä tapahtuvia ovat Tracon ry:n järjestämien Traconin ja Tracon Hitpointin lisäksi muun muassa Tampere Kuplii, Yukicon sekä Mimicon. Tämä viesti on lähetetty sinulle tiedoksi eikä se edellyttä sinulta toimenpiteitä.
Traconin Confluenceen on tehty tietomurto eilen keskiviikkona 1. syyskuuta 2021. Hyökkääjät käyttivät päivittämättömän Confluence-ohjelmiston haavoittuvuutta, joka salli hyökkääjien suorittaa omaa ohjelmakoodiaan järjestelmässä. Tracon käyttää Confluencen ajamiseen ns. container-teknologioita, jotka rajasivat murron laajuuden koskettamaan ainoastaan Confluencea. Kompassi-tapahtumanhallintajärjestelmää ajetaan toisella palvelimella eikä se ole vaarantunut murron yhteydessä. Kompassi-tunnusten salasanat eivät ole vaarantuneet eikä salasanaa tarvitse vaihtaa.
Parhaan tietomme mukaan hyökkääjiä eivät ole kiinnostaneet Traconin Confluencen sisältö tai käyttäjien henkilötiedot, vaan hyökkääjät ovat tavoitelleet taloudellista hyötyä varastamalla laskentatehoa kryptovaluutan louhintaan. Hyökkäys on osa laajaa maailmanlaajuista automatisoitua hyökkäyskampanjaa, jossa on hyökätty lähes kaikkia Internetiin avoimia päivittämättömiä Confluence-sivustoja vastaan. Traconin Confluencea ei siis ole erityisesti yksilöity hyökkäyksen kohteeksi.
Murto havaittiin noin 8 tunnin kuluttua sen tapahtumisesta. Haavoittuva ohjelmisto on päivitetty, hyökkääjien järjestelmään jättämä haittakoodi on poistettu ja tapahtuneesta on ilmoitettu Kyberturvallisuuskeskukseen. Tracon kehittää toimintatapojaan, jotta tietoturvan kannalta kriittisistä päivityksistä saadaan tieto ja päivitykset saadaan asennettua nopeammin.
Traconin puolesta pahoittelen tapahtunutta ja kiitän kaikkia tapauksen selvittelyyn osallistuneita henkilöitä.
Tämän tiedotteen ajantasainen, tarvittaessa päivittyvä versio löytyy tältä sivulta. Lisätietoja tapahtuneesta voi tarvittaessa kysyä sähköpostitse allekirjoittaneelta osoitteesta japsu ät tracon piste fi.
Santtu Pajukanta
Järjestelmäkehityksen johtaja
Hallituksen puheenjohtaja, Tracon ry
ENGLISH SUMMARY: Using a remote code execution vulnerability we had neglected to patch, Tracon’s Confluence site at confluence.tracon.fi was breached yesterday 1st September by actors aiming for financial gain through crypto mining. We have no reason to suspect site content or personal information has been compromised. The vulnerable software has been upgraded, and we will improve our processes to prevent this from happening again. We apologise for the inconvenience. No action is required on your part.