Hallo! Unser OpenID-Anbieter hatte eine Panne, bei der versehentlich zu viele Informationen über Benutzer (das norwegische Äquivalent einer Sozialversicherungsnummer) herausgegeben wurden, und sie fragen nun, ob unsere Discourse-Instanz die Informationen gespeichert haben könnte. Die fraglichen Informationen würden höchstwahrscheinlich wie folgt in der userinfo-Antwort erscheinen:
“norEduPersonNIN”: “23080374554”
Besteht die Möglichkeit, dass diese überflüssigen Informationen irgendwo gespeichert wurden?
Das erscheint mir unwahrscheinlich, aber
Wird die gesamte Antwort irgendwo protokolliert/gespeichert?
Löst das Vorhandensein eines solchen Tags eine Fehlermeldung aus, die irgendwo gespeichert/protokolliert wird?
Extrahiert und speichert das System alles, was es aus der Antwort extrahieren kann, “nur für den Fall”?
Ich würde mich sehr über eine definitive Antwort in der Art von “keine Chance” oder “ja, es wird gespeichert, aber hier ist, wie Sie diese Informationen löschen können” freuen
Hallo @steinhh, ich denke, das ist die beste Beschreibung:
Die Informationen werden in der Datenbanktabelle user_associated_accounts gespeichert, sodass Sie dort nachsehen können, was möglicherweise bereinigt werden muss.
Danke! Dort taucht nichts Verdächtiges auf. Ich habe auch unsere „Datenbank-Hotel“-Leute gebeten, einen vollständigen Dump der Datenbank zu erstellen, und die Durchsuchung der Inhalte ergab nichts. Puh. Dies war ein vorfallwürdiger Vorfall, obwohl meines Wissens die SSN-Äquivalente noch nicht an sich durchgesickert sind, sondern nur fälschlicherweise an Authentifizierungskunden weitergegeben wurden.
Danke! War zum Glück deaktiviert. Aber meinen Sie “/log” und nicht “/logs”? Letzteres finde ich nicht im Installationsverzeichnis (wir haben eine direkte Installation auf RHEL8).
