Salut ! Notre fournisseur OpenID a eu un problème technique qui lui a fait distribuer accidentellement trop d’informations sur les utilisateurs (l’équivalent norvégien d’un numéro de sécurité sociale) et ils nous demandent maintenant si notre instance Discourse a pu stocker ces informations. Les informations en question apparaîtraient très probablement comme ceci dans la réponse userinfo :
“norEduPersonNIN”: “23080374554”
Y a-t-il une chance que ces informations superflues aient été stockées quelque part ?
Cela me semble peu probable, mais :
La réponse entière est-elle enregistrée/archivée quelque part ?
La présence d’une telle balise déclenche-t-elle un message d’erreur qui est stocké/enregistré quelque part ?
Le système extrait-il et stocke-t-il tout ce qu’il peut de la réponse, “au cas où” ?
J’apprécierais vraiment une réponse définitive du genre “aucune chance” ou “oui, c’est stocké mais voici comment supprimer ces informations”
Salut @steinhh, je pense que c’est la meilleure description :
Les informations sont stockées dans la table de base de données user_associated_accounts, vous pourriez donc y jeter un œil pour voir ce qui pourrait nécessiter un nettoyage.
Merci ! Rien de suspect ne ressort de là. J’ai aussi demandé à nos gars de la « base de données hôtel » de faire une copie complète de la base de données, et une recherche parmi les contenus n’a rien donné. Ouf. Cet incident méritait les journaux, bien que, à ma connaissance, les équivalents du numéro de sécurité sociale n’aient pas encore été divulgués en soi, juste distribués par erreur aux clients d’authentification.
Merci ! Il était désactivé, heureusement. Mais voulez-vous dire « /log », et non « /logs » ? Je ne trouve pas ce dernier dans le répertoire d’installation (nous avons une installation directe sur RHEL8).
Oui, le répertoire s’appelle log. Je suis à peu près sûr que tout ce qui est pertinent pour votre situation se trouverait dans le fichier production.log.
