Abo
  • Services:

Sicherheit: Ein Lob für Twitter und Github

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!

Ein IMHO von Hanno Böck veröffentlicht am
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um.
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um. (Bild: Twitter)

Zwei Sicherheitsvorfälle, beide sehr ähnlich, wurden in den letzten Tagen bei Github und Twitter bekannt. Am Dienstag meldete sich Github bei einer Reihe seiner Nutzer und teilte ihnen mit, dass aufgrund eines Fehlers Passwörter im Klartext in einer Logdatei gespeichert wurden. Zwei Tage darauf ging Twitter mit einer ähnlichen Meldung an die Öffentlichkeit, dort waren demnach wohl alle Nutzer betroffen.

Stellenmarkt
  1. T-Systems Multimedia Solutions GmbH, Berlin, Dresden, Jena, Leipzig oder Rostock
  2. HYDAC INTERNATIONAL GmbH, Großbeeren

Normalerweise sollten Passwörter nie im Klartext gespeichert werden, sondern mit Hash-Funktionen geschützt. Das taten auch beide Firmen: Sowohl Github als auch Twitter geben an, ihre Zugangsdaten mit der Bcrypt-Funktion zu speichern, eine speziell für Passwörter entwickelte Hash-Funktion. Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen. In beiden Fällen wurden wohl Login-Daten in Logs geschrieben, die das unverschlüsselte Passwort enthielten.

Kleiner Vorfall, trotzdem Transparenz hergestellt

Wenn Firmen in Sachen IT-Sicherheit schlampen, ist das oft ein Grund für völlig berechtigte Kritik. Doch daran sollte man in diesem Fall sparen. Die Vorfälle waren vergleichsweise harmlos. Theoretisch hätten Mitarbeiter der Firmen auf die Passwörter zugreifen können, doch es gibt keinen Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, erscheint eher unwahrscheinlich. Trotzdem entschieden sich beide Firmen, offensiv mit den Vorfällen umzugehen und ihre Kunden zu informieren.

Das steht im lobenswerten Kontrast zu einem Umgang mit Sicherheitslücken, den man viel häufiger erlebt: Es wird verschwiegen, was möglich ist, und nur das Nötigste zugegeben. Beispiele dafür gibt es viele, etwa der jahrelang vertuschte Mega-Datendiebstahl bei Yahoo oder auch das völlig intransparente Verhalten der zuständigen Behörden und der Bundesregierung bei Hacks auf den Bundestag und die Regierungsnetze.

Dabei spricht viel für einen transparenten Umgang mit solchen Vorfällen. Es dürfte kein Zufall sein, dass Twitter zwei Tage nach Github eine sehr ähnliche Sicherheitslücke bekannt machte. Zwar gibt es dafür keine Belege, doch es ist naheliegend, dass Sicherheitstechniker bei Twitter nach der Github-Meldung geprüft haben, ob es dort ein ähnliches Problem gibt.

Transparenz führt zu mehr Sicherheit

Was klar sein dürfte: Viele andere Firmen werden sich in diesen Tagen auf die Suche nach ähnlichen Problemen machen. Sprich: Die Transparenz führt dazu, dass andere etwas daraus lernen und ihre Sicherheit verbessern können. Denn Sicherheitslücken sind in den seltensten Fällen einmalig, meistens werden die gleichen Fehler an vielen Stellen gemacht.

Nutzer von Github und Twitter können sich außerdem nun besser schützen. Auch wenn ein Diebstahl der Passwörter unwarscheinlich ist: Ein Passwortwechsel ist schnell durchgeführt, insbesondere wenn man - was jedem Anwender zu empfehlen ist - einen Passwortmanager nutzt. Wer mehr Sicherheit im Netz möchte, sollte Firmen zu einem transparenten Umgang mit Sicherheitslücken ermutigen - und sie nicht dafür abstrafen, wenn sie auch bei kleineren Problemen an die Öffentlichkeit gehen.



Anzeige
Spiele-Angebote
  1. (-15%) 12,74€
  2. 4,99€
  3. 34,99€
  4. 4,67€

xenofit 07. Mai 2018

Ich glaube er spielt darauf an: https://mobile.twitter.com/tmobileat/status...

madduck 07. Mai 2018

Schau Dir mal die FIDO Allianz an, bzw. UAF. Oder https://keyp.io. Passwörter haben...

Leseratte10 07. Mai 2018

Bei Yahoo wurden Passwörter schwach gehasht (wenn ich mich richtig erinnere), sie wurden...

Tuxgamer12 06. Mai 2018

Moment, du verstehst aber schon den Sinn vom Hashen? Natürlich musst du Passwörter im...

thrust26 05. Mai 2018

Doch, falls dasselbe Passwort auf verschiedenen Webseiten verwendet wird (wie es die...


Folgen Sie uns
       


Nintendo Gameboy - ein kurzer Rückblick

Tetris, Pokémon, Super Mario - wir fassen die Geschichte des Gameboy im Video zusammen.

Nintendo Gameboy - ein kurzer Rückblick Video aufrufen
Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Jobporträt: Wenn die Software für den Anwalt kurzen Prozess macht
Jobporträt
Wenn die Software für den Anwalt kurzen Prozess macht

IT-Anwalt Christian Solmecke arbeitet an einer eigenen Jura-Software, die sogar automatisch auf Urheberrechtsabmahnungen antworten kann. Dass er sich damit seiner eigenen Arbeit beraubt, glaubt er nicht. Denn die KI des Programms braucht noch Betreuung.
Von Maja Hoock

  1. Struktrurwandel IT soll jetzt die Kohle nach Cottbus bringen
  2. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  3. Recruiting Wenn die KI passende Mitarbeiter findet

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

    •  /