<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><br class=""><div><blockquote type="cite" class=""><div class="">On Jun 7, 2015, at 13:07 , Boubakar Barry <<a href="mailto:boubakarbarry@gmail.com" class="">boubakarbarry@gmail.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" class=""><div class=""><div class=""><div class="">Well, it will be difficult for a serving AfriNIC staff to challenge this at this point of time.<br class=""><br class=""></div>Let's wait for the investigation report to be shared with the community. I however don't support the expressed idea to wait for the AGMM minutes.<br class=""><br class=""></div>While the investigation results can be incorporated in the AGMM minutes, I don't see why we should wait until the minutes are made available to know about the investigation results. Our Tunis experience regarding the release of resolutions of a Board meeting held 7 months ago advocates for the disconnection of the two.<br class=""></div></div></div></blockquote><div><br class=""></div>Boubakar,</div><div><br class=""></div><div>Alan Barrett presented the results of the investigation at the AGMM. I’m not sure what investigation report you are waiting for other than the one that was delivered at the meeting.</div><div><br class=""></div><div>Everything was disclosed. Nobody was made a scapegoat and nothing was covered up.</div><div><br class=""></div><div>Sum total as best I can recall… I’m sure someone will correct me if I got anything wrong:</div><div><br class=""></div><div>1.<span class="Apple-tab-span" style="white-space:pre">    </span>A mistake was made at creation time of the mailing list which flagged it as a publicly accessible list open to subscription by anyone.</div><div>2.<span class="Apple-tab-span" style="white-space:pre">     </span>Nobody noticed this error until the person in question went searching for publicly available information on the nom-comm and found</div><div><span class="Apple-tab-span" style="white-space:pre">   </span>the list on the public mailing list page on the AfriNIC web site.</div><div>3.<span class="Apple-tab-span" style="white-space:pre">  </span>The person in question subscribed to the list.</div><div>4.<span class="Apple-tab-span" style="white-space:pre">     </span>He downloaded the list archives.</div><div>5.<span class="Apple-tab-span" style="white-space:pre">   </span>He realized two things:</div><div><span class="Apple-tab-span" style="white-space:pre">      </span>1.<span class="Apple-tab-span" style="white-space:pre">  </span>That these were the private emails of the nominating committee and should not be public.</div><div><span class="Apple-tab-span" style="white-space:pre">     </span>2.<span class="Apple-tab-span" style="white-space:pre">  </span>That there were contents in those emails that caused him some concerns about the propriety of the actions by the</div><div><span class="Apple-tab-span" style="white-space:pre">             </span>nominating committee.</div><div><br class=""></div><div><span class="Apple-tab-span" style="white-space:pre">    </span>A.<span class="Apple-tab-span" style="white-space:pre">  </span>In response to 1, he contacted Daniel from the AfriNIC staff who immediately corrected the misconfiguration.</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>B.<span class="Apple-tab-span" style="white-space:pre">  </span>In response to 2, he provided the information to two members of the board who he knew and trusted.</div><div><br class=""></div><div><span class="Apple-tab-span" style="white-space:pre">       </span>He honestly had no way to know that the emails were private until he started reading them. He did not set out to breach the security</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>of AfriNIC or with any mal-intent.</div><div><br class=""></div><div><span class="Apple-tab-span" style="white-space:pre">       </span>Action A was right and proper, and I believe we have consensus about that.</div><div><span class="Apple-tab-span" style="white-space:pre">   </span>Action B is being applauded by some and reviled by others. IMHO, it was poor judgment, but understandable.</div><div>6.<span class="Apple-tab-span" style="white-space:pre"> </span>Daniel corrected the configuration thus preventing further disclosures.</div><div>7.<span class="Apple-tab-span" style="white-space:pre">    </span>The logs show that only two unauthorized subscribers were admitted to the list. This was announced in the results of the investigation.</div><div><span class="Apple-tab-span" style="white-space:pre">      </span>1 was known to be the original person in question above</div><div><span class="Apple-tab-span" style="white-space:pre">      </span>The other is now known to be someone whom he asked to confirm the vulnerability (which is fairly standard practice in identifying a security problem).</div><div><br class=""></div><div>Thus, no actual harm was done. Nobody had any ill intent. There is no conspiracy, no tampering with the election, no interference with the nominating</div><div>committee. In short, nothing worthy of the amount of brouhaha that has been hitherto presented on this topic.</div><div><br class=""></div><div>I will note that I did not have a dog in the fight for the election. My only concern was a free and fair election by the members. I was made aware of this situation by the original person in question shortly after he informed Daniel and I was given an opportunity to download the information and/or review it. I expressed my thoughts that doing so was not right and discouraged the person in question from any further disclosure of the information. Advice which was followed.</div><div><br class=""></div><div>Owen</div><div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" class=""><div class=""><br class=""></div>Boubakar<br class=""><br class=""></div><div class="gmail_extra"><br class=""><div class="gmail_quote">On Sun, Jun 7, 2015 at 7:55 PM, Kofi ANSA AKUFO <span dir="ltr" class=""><<a href="mailto:kofi.ansa@gmail.com" target="_blank" class="">kofi.ansa@gmail.com</a>></span> wrote:<br class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class=""><div class=""><div class=""><div class="">Well well well . . . it was just a matter of time.<br class=""></div><div class=""><br class="">So this has happened again ... exploiting mal-configured systems in Afrinic. It is <b class="">time to call for a thorough independent security assessment</b> of these systems.<br class=""><br class=""></div>The last time this happened leading staff in Afrinic concealed this and went witch hunting and shamefully sacrificed an ex-employee as a cover up.<br class=""><br class=""></div>I challenge any well meaning staff of Afrinic to come to refute this.<span class="HOEnZb"><font color="#888888" class=""><br class=""><br class=""></font></span></div><span class="HOEnZb"><font color="#888888" class="">K.<br class=""><br class=""><br class=""></font></span><div class=""><div class=""><div class=""><div class=""><div class=""><div class=""><div class="gmail_extra"><br class=""><div class="gmail_quote"><div class=""><div class="h5">On 7 June 2015 at 22:32, Omo Oaiya <span dir="ltr" class=""><<a href="mailto:omo@wacren.net" target="_blank" class="">omo@wacren.net</a>></span> wrote:<br class=""></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class=""><div class="h5"><br class="">
<br class="">
On 6/7/15  Owen DeLong wrote:<br class="">
><br class="">
> I would much rather that the board tells us what is going on in a<br class="">
> timely manner, even if they don’t have all the details. This reduces<br class="">
>  the potential for innuendo, rumor, and chaos in the community and<br class="">
> should increase trust in the board.<br class="">
<br class="">
+1.<br class="">
<br class="">
> I do not entirely agree with the actions of the community member in<br class="">
> question as I agree that disclosure to select board members was<br class="">
> inappropriate, but the intent was honorable and not mischievous. The<br class="">
> absolute worst that can be legitimately said of the person in<br class="">
> question it that he exercised poor judgment.<br class="">
<br class="">
<br class="">
Very poor judgement at best.<br class="">
<br class="">
Brings Adiel's admonition to the board to show good judgment to mind.<br class="">
We look forward with expectation to the outcome of their next meeting.<br class="">
<span class=""><font color="#888888" class=""><br class="">
-Omo<br class="">
<br class="">
</font></span><br class=""></div></div><span class="">_______________________________________________<br class="">
rpd mailing list<br class="">
<a href="mailto:rpd@afrinic.net" target="_blank" class="">rpd@afrinic.net</a><br class="">
<a href="https://lists.afrinic.net/mailman/listinfo.cgi/rpd" target="_blank" class="">https://lists.afrinic.net/mailman/listinfo.cgi/rpd</a><br class="">
<br class=""></span></blockquote></div><br class=""></div></div></div></div></div></div></div></div>
<br class="">_______________________________________________<br class="">
rpd mailing list<br class="">
<a href="mailto:rpd@afrinic.net" class="">rpd@afrinic.net</a><br class="">
<a href="https://lists.afrinic.net/mailman/listinfo.cgi/rpd" target="_blank" class="">https://lists.afrinic.net/mailman/listinfo.cgi/rpd</a><br class="">
<br class=""></blockquote></div><br class=""></div>
_______________________________________________<br class="">rpd mailing list<br class=""><a href="mailto:rpd@afrinic.net" class="">rpd@afrinic.net</a><br class="">https://lists.afrinic.net/mailman/listinfo.cgi/rpd<br class=""></div></blockquote></div><br class=""></body></html>