Datenleck: Sicherheitslücke im Shop von Tuxedo entdeckt und geschlossen

Ein Entwickler hat eine Sicherheitslücke im Shop-System von Linux-Hardware-Hersteller Tuxedo entdeckt, über welche Daten abgegriffen werden konnten.

Artikel veröffentlicht am ,
Die Rechner von Tuxedo sind auf Linux-Distributionen ausgelegt.
Die Rechner von Tuxedo sind auf Linux-Distributionen ausgelegt. (Bild: Tuxedo)

Im Shopsystem des Linux-Hardware-Herstellers Tuxedo ist eine Sicherheitslücke entdeckt worden, über die angemeldete Nutzer die Adressdaten und gehashten Passwörter anderer Tuxedo-Kunden abrufen konnten. Nachdem das Unternehmen von der Sicherheitslücke erfahren hatte, sei sie umgehend geschlossen worden, teilte Tuxedo auf Nachfrage von Golem.de mit.

Demnach meldete sich in den frühen Morgenstunden des vergangenen Sonntags (13. Februar) ein Kunde bei Tuxedo und informierte das Unternehmen über eine E-Mail, die auf das mögliche Datenleck hingewiesen hatte. Daraufhin habe man sich sofort mit der Lösung des Problems beschäftigt und habe die Lücke noch am gleichen Tag gegen 13:30 Uhr beheben können, erklärte Annika Litzel, Pressesprecherin von Tuxedo.

Zudem sei man mit dem Entwickler in Kontakt getreten, der "eine Lücke gefunden [hat], die nach Registrierung als Kunde und anschließender entsprechend versierter Manipulation des Adressbuchs Zugriff auf Adressdaten und gehashte Passwörter ermöglicht hätte", sagte Litzel. Die Passwörter wurden mit dem leicht zu knackenden Verfahren MD5 gehasht.

Ein Zugriff auf weitere Informationen wie beispielsweise Zahlungsdaten sei jedoch nicht möglich gewesen, betont Litzel. Die Lücke habe nur den Shop betroffen, Manipulationen seien nicht möglich gewesen

Tuxedo informierte Kunden umgehend und will neue Sicherheitsfunktionen einführen

Der Entwickler sei sehr vertrauenswürdig und freundlich und habe angegeben, "die Daten nicht heruntergeladen, nicht gespeichert, nicht weitergegeben und nichts Anderweitiges damit gemacht" zu haben, erklärte Litzel. Sie richtete ihren Dank an den Entwickler. Seine initiale E-Mail habe man allerdings nirgends im System finden können, sonst hätte man bereits früher reagiert, betonte Litzel. Auch gelöschte E-Mails und Spamfilter seien geprüft worden.

Bereits am 14. Februar, also ein Tag nachdem Tuxedo von der Sicherheitslücke und dem möglichen Datenleck erfuhr, informierte es alle Kunden per E-Mail. Diese wurden zu einer Änderung des Passwortes aufgerufen. Der Datenschutzbeauftragte solle im Laufe des 15. Februar über den Vorfall informiert werden.

Bisher hat Tuxedo kündigte an, Passwörter zukünftig mit einem Salt und dem Hashverfahren Bcrypt sichern zu wollen. Zudem soll eine Zwei-Faktor-Authentifizierung (2FA) eingeführt werden.

Nachtrag vom 18. Februar 2022, 14:30 Uhr

Auf Nachfrage von Golem.de hat sich Tuxedo zu dem bisherigen und zukünftigen Hashverfahren geäußert. Die Informationen wurden im Text ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Mediatheken
ARD braucht moderne Inhalte statt Technik

Der ARD-Vorsitzende will hunderte Millionen für Streaming-Technik ausgeben - von Inhalten ist keine Rede. Dabei braucht es die, um neue Zielgruppen zu gewinnen.
Ein IMHO von Tobias Költzsch und Sebastian Grüner

Mediatheken: ARD braucht moderne Inhalte statt Technik
Artikel
  1. Schneller als SSDs: Eine RAM-Festplatte bricht Geschwindigkeitsrekorde
    Schneller als SSDs
    Eine RAM-Festplatte bricht Geschwindigkeitsrekorde

    Schneller als SSDs und unendlich oft beschreibbar: Das verspricht ein Speichermedium, das RAM-Chips nutzt, aber über NVMe angesprochen wird.

  2. Solarstrom: Greenakku bietet Balkonkraftwerk mit Speicherakku an
    Solarstrom
    Greenakku bietet Balkonkraftwerk mit Speicherakku an

    Die Balkonkraftwerke von Greenakku sind ab sofort auch in Sets mit einem Akku verfügbar. So wird überschüssige Energie gespeichert.

  3. Morris Chang: TSMC-Gründer erklärt Globalisierung im Chipsektor für tot
    Morris Chang
    TSMC-Gründer erklärt Globalisierung im Chipsektor für tot

    Der ehemalige CEO des Halbleiterproduzenten TSMC geht davon aus, dass die Preise dadurch steigen werden. Taiwan steht vor einem Dilemma.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Amazon Coupon-Party • MindStar: MSI RTX 4080 -100€ • Neue RAM-Tiefstpreise • Sandisk MicroSDXC 256GB -69% • Neue Wochendeals bei Media Markt • Bosch Professional-Rabatte • Otto Oster-Angebote • 38-GB-Allnet-Flat 12,99€/Monat • Meta Quest Pro 1.199€ • [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /