Abo
  • Services:

Sicherheit: Ein Lob für Twitter und Github

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!

Ein IMHO von Hanno Böck veröffentlicht am
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um.
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um. (Bild: Twitter)

Zwei Sicherheitsvorfälle, beide sehr ähnlich, wurden in den letzten Tagen bei Github und Twitter bekannt. Am Dienstag meldete sich Github bei einer Reihe seiner Nutzer und teilte ihnen mit, dass aufgrund eines Fehlers Passwörter im Klartext in einer Logdatei gespeichert wurden. Zwei Tage darauf ging Twitter mit einer ähnlichen Meldung an die Öffentlichkeit, dort waren demnach wohl alle Nutzer betroffen.

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. ENERCON GmbH, Aurich

Normalerweise sollten Passwörter nie im Klartext gespeichert werden, sondern mit Hash-Funktionen geschützt. Das taten auch beide Firmen: Sowohl Github als auch Twitter geben an, ihre Zugangsdaten mit der Bcrypt-Funktion zu speichern, eine speziell für Passwörter entwickelte Hash-Funktion. Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen. In beiden Fällen wurden wohl Login-Daten in Logs geschrieben, die das unverschlüsselte Passwort enthielten.

Kleiner Vorfall, trotzdem Transparenz hergestellt

Wenn Firmen in Sachen IT-Sicherheit schlampen, ist das oft ein Grund für völlig berechtigte Kritik. Doch daran sollte man in diesem Fall sparen. Die Vorfälle waren vergleichsweise harmlos. Theoretisch hätten Mitarbeiter der Firmen auf die Passwörter zugreifen können, doch es gibt keinen Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, erscheint eher unwahrscheinlich. Trotzdem entschieden sich beide Firmen, offensiv mit den Vorfällen umzugehen und ihre Kunden zu informieren.

Das steht im lobenswerten Kontrast zu einem Umgang mit Sicherheitslücken, den man viel häufiger erlebt: Es wird verschwiegen, was möglich ist, und nur das Nötigste zugegeben. Beispiele dafür gibt es viele, etwa der jahrelang vertuschte Mega-Datendiebstahl bei Yahoo oder auch das völlig intransparente Verhalten der zuständigen Behörden und der Bundesregierung bei Hacks auf den Bundestag und die Regierungsnetze.

Dabei spricht viel für einen transparenten Umgang mit solchen Vorfällen. Es dürfte kein Zufall sein, dass Twitter zwei Tage nach Github eine sehr ähnliche Sicherheitslücke bekannt machte. Zwar gibt es dafür keine Belege, doch es ist naheliegend, dass Sicherheitstechniker bei Twitter nach der Github-Meldung geprüft haben, ob es dort ein ähnliches Problem gibt.

Transparenz führt zu mehr Sicherheit

Was klar sein dürfte: Viele andere Firmen werden sich in diesen Tagen auf die Suche nach ähnlichen Problemen machen. Sprich: Die Transparenz führt dazu, dass andere etwas daraus lernen und ihre Sicherheit verbessern können. Denn Sicherheitslücken sind in den seltensten Fällen einmalig, meistens werden die gleichen Fehler an vielen Stellen gemacht.

Nutzer von Github und Twitter können sich außerdem nun besser schützen. Auch wenn ein Diebstahl der Passwörter unwarscheinlich ist: Ein Passwortwechsel ist schnell durchgeführt, insbesondere wenn man - was jedem Anwender zu empfehlen ist - einen Passwortmanager nutzt. Wer mehr Sicherheit im Netz möchte, sollte Firmen zu einem transparenten Umgang mit Sicherheitslücken ermutigen - und sie nicht dafür abstrafen, wenn sie auch bei kleineren Problemen an die Öffentlichkeit gehen.



Anzeige
Spiele-Angebote
  1. (-55%) 8,99€
  2. 39,95€
  3. (-77%) 6,99€
  4. für 2€ (nur für Neukunden)

xenofit 07. Mai 2018

Ich glaube er spielt darauf an: https://mobile.twitter.com/tmobileat/status...

madduck 07. Mai 2018

Schau Dir mal die FIDO Allianz an, bzw. UAF. Oder https://keyp.io. Passwörter haben...

Leseratte10 07. Mai 2018

Bei Yahoo wurden Passwörter schwach gehasht (wenn ich mich richtig erinnere), sie wurden...

Tuxgamer12 06. Mai 2018

Moment, du verstehst aber schon den Sinn vom Hashen? Natürlich musst du Passwörter im...

thrust26 05. Mai 2018

Doch, falls dasselbe Passwort auf verschiedenen Webseiten verwendet wird (wie es die...


Folgen Sie uns
       


Acer Spin 13 - Fazit

Das Spin 13 von Acer ist ein hochwertig verarbeitetes, gut ausgestattetes Chromebook. Nach dem Test fragen wir uns aber, ob wir wirklich mindestens 900 Euro für ein Notebook mit Chrome OS ausgeben wollen.

Acer Spin 13 - Fazit Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Enterprise Resource Planning: Drei Gründe für das Scheitern von SAP-Projekten
Enterprise Resource Planning
Drei Gründe für das Scheitern von SAP-Projekten

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier


    Radeon VII im Test: Die Grafikkarte für Videospeicher-Liebhaber
    Radeon VII im Test
    Die Grafikkarte für Videospeicher-Liebhaber

    Höherer Preis, ähnliche Performance und doppelt so viel Videospeicher wie die Geforce RTX 2080: AMDs Radeon VII ist eine primär technisch spannende Grafikkarte. Bei Energie-Effizienz und Lautheit bleibt sie chancenlos, die 16 GByte Videospeicher sind eher ein Nischen-Bonus.
    Ein Test von Marc Sauter und Sebastian Grüner

    1. Grafikkarte UEFI-Firmware lässt Radeon VII schneller booten
    2. AMD Radeon VII tritt mit PCIe Gen3 und geringer DP-Rate an
    3. Radeon Instinct MI60 AMD hat erste Grafikkarte mit 7 nm und PCIe 4.0

      •  /