Datenleck: Sicherheitslücke im Shop von Tuxedo entdeckt und geschlossen

Ein Entwickler hat eine Sicherheitslücke im Shop-System von Linux-Hardware-Hersteller Tuxedo entdeckt, über welche Daten abgegriffen werden konnten.

Artikel veröffentlicht am ,
Die Rechner von Tuxedo sind auf Linux-Distributionen ausgelegt.
Die Rechner von Tuxedo sind auf Linux-Distributionen ausgelegt. (Bild: Tuxedo)

Im Shopsystem des Linux-Hardware-Herstellers Tuxedo ist eine Sicherheitslücke entdeckt worden, über die angemeldete Nutzer die Adressdaten und gehashten Passwörter anderer Tuxedo-Kunden abrufen konnten. Nachdem das Unternehmen von der Sicherheitslücke erfahren hatte, sei sie umgehend geschlossen worden, teilte Tuxedo auf Nachfrage von Golem.de mit.

Stellenmarkt
  1. Mitarbeiter (m/w/d) Customer Support für Förderprogramme
    Landwirtschaftliche Rentenbank, Frankfurt am Main
  2. Entwicklungsingenieur Systemtest (m/w/d)
    Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Schwieberdingen, Schwieberdingen bei Stuttgart
Detailsuche

Demnach meldete sich in den frühen Morgenstunden des vergangenen Sonntags (13. Februar) ein Kunde bei Tuxedo und informierte das Unternehmen über eine E-Mail, die auf das mögliche Datenleck hingewiesen hatte. Daraufhin habe man sich sofort mit der Lösung des Problems beschäftigt und habe die Lücke noch am gleichen Tag gegen 13:30 Uhr beheben können, erklärte Annika Litzel, Pressesprecherin von Tuxedo.

Zudem sei man mit dem Entwickler in Kontakt getreten, der "eine Lücke gefunden [hat], die nach Registrierung als Kunde und anschließender entsprechend versierter Manipulation des Adressbuchs Zugriff auf Adressdaten und gehashte Passwörter ermöglicht hätte", sagte Litzel. Die Passwörter wurden mit dem leicht zu knackenden Verfahren MD5 gehasht.

Ein Zugriff auf weitere Informationen wie beispielsweise Zahlungsdaten sei jedoch nicht möglich gewesen, betont Litzel. Die Lücke habe nur den Shop betroffen, Manipulationen seien nicht möglich gewesen

Tuxedo informierte Kunden umgehend und will neue Sicherheitsfunktionen einführen

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    11./12.07.2022, Virtuell
  2. Microsoft 365 Administration: virtueller Drei-Tage-Workshop
    01.-03.06.2022, Virtuell
Weitere IT-Trainings

Der Entwickler sei sehr vertrauenswürdig und freundlich und habe angegeben, "die Daten nicht heruntergeladen, nicht gespeichert, nicht weitergegeben und nichts Anderweitiges damit gemacht" zu haben, erklärte Litzel. Sie richtete ihren Dank an den Entwickler. Seine initiale E-Mail habe man allerdings nirgends im System finden können, sonst hätte man bereits früher reagiert, betonte Litzel. Auch gelöschte E-Mails und Spamfilter seien geprüft worden.

Bereits am 14. Februar, also ein Tag nachdem Tuxedo von der Sicherheitslücke und dem möglichen Datenleck erfuhr, informierte es alle Kunden per E-Mail. Diese wurden zu einer Änderung des Passwortes aufgerufen. Der Datenschutzbeauftragte solle im Laufe des 15. Februar über den Vorfall informiert werden.

Bisher hat Tuxedo kündigte an, Passwörter zukünftig mit einem Salt und dem Hashverfahren Bcrypt sichern zu wollen. Zudem soll eine Zwei-Faktor-Authentifizierung (2FA) eingeführt werden.

Nachtrag vom 18. Februar 2022, 14:30 Uhr

Auf Nachfrage von Golem.de hat sich Tuxedo zu dem bisherigen und zukünftigen Hashverfahren geäußert. Die Informationen wurden im Text ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Künstliche Intelligenz: Wie erklären Menschen die Entscheidungen von Computern?
    Künstliche Intelligenz
    Wie erklären Menschen die Entscheidungen von Computern?

    Je komplexer eine KI, desto schwerer können Menschen ihre Entscheidungen nachvollziehen. Das ängstigt viele. Doch künstliche Intelligenz ist keine Blackbox mehr.
    Von Florian Voglauer

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /