(Español)
Dear Symbiota community,
All 54 Symbiota Support Hub (SSH)-hosted portals and services are now fully operational following the unprecedented security breach that occurred in July. To summarize what happened, we believe that the breach of the IT infrastructure that hosted the virtually managed Symbiota portal servers was caused by a hacked or leaked password, followed by exploitation of various security vulnerabilities. Fortunately, the server maintenance team discovered the breach early and immediately locked down the servers. This is what resulted in the portals being down for three weeks while the threat was addressed. It is our understanding that these bad actors were not interested in our portals or our data, but rather other servers on the network. As a result, all SSH-based portals have been migrated and secured at the University of Kansas. Our team extends its sincere thanks for your patience and understanding while we worked through the multitude of issues that precipitated from this event.
We would like to take this opportunity to remind the Symbiota user community of steps you can take to keep the portals and your data as secure as possible. Please see below for more information.
All the best,
–The Symbiota Support Hub
Ed Gilbert, Greg Post, Jenn Yost, Katie Pearson, Lindsay Walker, Logan Wilt, Mark Fisher, Nico Franz, Nikita Salikov, Samanta Orellana
All registered users: Evaluate your “password hygiene”
All users were required to reset their passwords as portals were reinstated. As an additional reminder, we strongly encourage all users to consider the following advice regarding password maintenance. Password reset instructions are here.
- Never reuse passwords. For example, do not reuse the password for your institutional email as the password for your portal user account.
- Make sure your password is long and complex enough. Longer passwords (12+ characters, like short sentences) that incorporate uppercase and lowercase letters, numbers, and special characters are harder for hackers and bots to guess.
- Consider using a password manager, like KeePass/MacPass, to generate and store strong passwords.
- Do not share passwords (or user accounts). Likewise, the SSH will never ask you for your password.
- Change your password on a regular basis. Set a reminder for yourself to change your passwords at least annually.
Data providers: Backup your data
One benefit of using a Symbiota Support Hub-hosted portal to manage your specimen data is that the SSH creates nightly backups of the portal databases. That said, because redundancy is an important part of data management, there are two additional steps that collection administrators can take to backup their specimen data in Symbiota portals:
1) Regularly download data backup files
Live-managed collections should follow these instructions to download a backup copy of your data. Determining how often to download a data backup file depends on your collection’s activity with respect to adding and editing records directly in the portal. For example, if your collection is actively digitizing specimen data, you might opt to download a backup file once per week; less active collections may do so less frequently. The SSH recommends that you 1) determine a backup schedule that works for your collection and then 2) create a calendar reminder (or similar) to prompt you to download a backup file according to your preferred schedule. Store your backup files in a secure location.
2) Publish your data to GBIF
Publishing your data to GBIF will create a secondary copy of your data that can be downloaded as a Darwin Core Archive (example). Other benefits include increasing the visibility of your collection to researchers, as well as gaining access to GBIF’s occurrence metrics, data quality flags, and citation tracking tools. For collections that use Symbiota as their primary database of record, setting up the data publishing workflow is typically very straightforward, and subsequent data publishing is as easy as pushing a button (instructions). Please contact the SSH Help Desk (help@symbiota.org) if you would like assistance with publishing your data to GBIF.
Actualización del estado de los portales y recordatorios importantes desde el Symbiota Support Hub
Estimada comunidad Symbiota,
Los 54 portales alojados por el Symbiota Support Hub (SSH) y sus servicios ya están funcionando completamente, luego del evento de vulneración de seguridad sin precedentes ocurrido en julio. Para resumir lo acontecido, es posible que la invasión a la infraestructura que alojaba los portales haya sido consecuencia de una contraseña robada o hackeada, lo que desató el aprovechamiento de otras vulnerabilidades de seguridad. Afortunadamente, el equipo técnico descubrió la vulneración a tiempo y procedió a bloquear inmediatamente los servidores para evitar daños. Esto resultó en la interrupción del acceso a los portales por tres semanas, mientras la amenaza era eliminada. Tenemos entendido que los malos actores no estaban interesados en los portales o los datos, sino en acceder a otros servidores conectados a la red. Por lo tanto, para agilizar su reactivación, los portales fueron trasladados de forma segura a nuevos servidores en la Universidad de Kansas. Nuestro equipo extiende su sincero agradecimiento por su paciencia y comprensión mientras trabajamos por corregir la multitud de inconvenientes derivados de este suceso.
–The Symbiota Support Hub
Ed Gilbert, Greg Post, Jenn Yost, Katie Pearson, Lindsay Walker, Logan Wilt, Mark Fisher, Nico Franz, Nikita Salikov, Samanta Orellana
Nos gustaría aprovechar esta oportunidad para recordarle a la comunidad de usuarios de Symbiota algunos pasos que pueden dar para que los portales y sus datos estén tan seguros como sea posible:
Todos los usuarios registrados: Evaluar la “higiene de sus contraseñas”
Todos los usuarios debieron restablecer sus contraseñas cuando los portales fueron reactivados. Como un recordatorio adicional, los motivamos a considerar las siguientes recomendaciones para el mantenimiento de sus contraseñas. Las instrucciones para el restablecimiento de las contraseñas puede consultarse aquí.
- Nunca reutilizar contraseñas. Por ejemplo, no reutilicen la contraseña de su correo institucional como contraseña en los portales.
- Asegurarse que su contraseña sea larga y compleja. Contraseñas largas (+12 caracteres, como oraciones cortas) que incorporen mayúsculas y minúsculas, números, así como caracteres especiales son más difíciles de adivinar para hackers y bots.
- Considerar usar un administrador de contraseñas como KeePass/MacPass, para generar y almacenar contraseñas fuertes.
- No compartir contraseñas (o cuentas de usuario). De igual forma, el SSH nunca les pedirá su contraseña.
- Cambiar su contraseña regularmente. Colocar un recordatorio para actualizar las contraseñas al menos anualmente.
Proveedores de datos: Respalden sus datos
Un beneficio de utilizar un portal alojado por el Symbiota Support Hub para manejar datos de especímenes, es que el SSH genera respaldos nocturnos diarios de las bases de datos. Dicho esto, porque la redundancia de datos es una parte importante del buen manejo de datos, existen dos pasos adicionales que los administradores de colecciones pueden realizar para respaldar sus datos en portales Symbiota:
1) Descargar regularmente archivos de respaldo
Las colecciones manejadas en vivo deben seguir estas instrucciones para descargar una copia de sus datos. Determinar cuán seguido debe realizarse esta acción, depende de la actividad de cada colección con respecto de añadir o editar registros directamente en el portal. Por ejemplo, si su colección está digitalizando activamente, debería descargar el archivo completo de los datos al menos una vez por semana; las colecciones menos activas pueden realizarlo con menos frecuencia. El SSH recomienda que 1) determine un horario de descarga de archivos de respaldo que funcione para su colección y 2) que cree un recordatorio en el calendario (o similar) para tener en cuenta la descarga de acuerdo con su horario elegido. Almacene sus archivos de respaldo en ubicaciones seguras.
2) Publicar sus datos en GBIF
Publicar sus datos en GBIF creará una copia secundaria de sus datos que puede ser descargada como un Archivo Darwin Core (ejemplo). Otros beneficios incluyen incrementar la visibilidad de su colección para investigadores, así como ganar acceso a estadísticas generadas en GBIF, alertas de calidad de datos y rastreo de citas en publicaciones científicas. Para colecciones que usan Symbiota como su base de datos primaria, configurar un protocolo para compartir datos en GBIF es bastante sencillo y la publicación de datos es tan fácil como presionar un botón (instruccciones). Por favor contactar al Centro de Apoyo del SSH (help@symbiota.org) si desea asistencia para publicar sus datos en GBIF.