• IT-Karriere:
  • Services:

Sicherheit: Ein Lob für Twitter und Github

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!

Ein IMHO von Hanno Böck veröffentlicht am
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um.
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um. (Bild: Twitter)

Zwei Sicherheitsvorfälle, beide sehr ähnlich, wurden in den letzten Tagen bei Github und Twitter bekannt. Am Dienstag meldete sich Github bei einer Reihe seiner Nutzer und teilte ihnen mit, dass aufgrund eines Fehlers Passwörter im Klartext in einer Logdatei gespeichert wurden. Zwei Tage darauf ging Twitter mit einer ähnlichen Meldung an die Öffentlichkeit, dort waren demnach wohl alle Nutzer betroffen.

Stellenmarkt
  1. DB Vertrieb GmbH, Frankfurt (Main)
  2. Schaeffler Monitoring Services GmbH, Herzogenrath

Normalerweise sollten Passwörter nie im Klartext gespeichert werden, sondern mit Hash-Funktionen geschützt. Das taten auch beide Firmen: Sowohl Github als auch Twitter geben an, ihre Zugangsdaten mit der Bcrypt-Funktion zu speichern, eine speziell für Passwörter entwickelte Hash-Funktion. Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen. In beiden Fällen wurden wohl Login-Daten in Logs geschrieben, die das unverschlüsselte Passwort enthielten.

Kleiner Vorfall, trotzdem Transparenz hergestellt

Wenn Firmen in Sachen IT-Sicherheit schlampen, ist das oft ein Grund für völlig berechtigte Kritik. Doch daran sollte man in diesem Fall sparen. Die Vorfälle waren vergleichsweise harmlos. Theoretisch hätten Mitarbeiter der Firmen auf die Passwörter zugreifen können, doch es gibt keinen Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, erscheint eher unwahrscheinlich. Trotzdem entschieden sich beide Firmen, offensiv mit den Vorfällen umzugehen und ihre Kunden zu informieren.

Das steht im lobenswerten Kontrast zu einem Umgang mit Sicherheitslücken, den man viel häufiger erlebt: Es wird verschwiegen, was möglich ist, und nur das Nötigste zugegeben. Beispiele dafür gibt es viele, etwa der jahrelang vertuschte Mega-Datendiebstahl bei Yahoo oder auch das völlig intransparente Verhalten der zuständigen Behörden und der Bundesregierung bei Hacks auf den Bundestag und die Regierungsnetze.

Dabei spricht viel für einen transparenten Umgang mit solchen Vorfällen. Es dürfte kein Zufall sein, dass Twitter zwei Tage nach Github eine sehr ähnliche Sicherheitslücke bekannt machte. Zwar gibt es dafür keine Belege, doch es ist naheliegend, dass Sicherheitstechniker bei Twitter nach der Github-Meldung geprüft haben, ob es dort ein ähnliches Problem gibt.

Transparenz führt zu mehr Sicherheit

Was klar sein dürfte: Viele andere Firmen werden sich in diesen Tagen auf die Suche nach ähnlichen Problemen machen. Sprich: Die Transparenz führt dazu, dass andere etwas daraus lernen und ihre Sicherheit verbessern können. Denn Sicherheitslücken sind in den seltensten Fällen einmalig, meistens werden die gleichen Fehler an vielen Stellen gemacht.

Nutzer von Github und Twitter können sich außerdem nun besser schützen. Auch wenn ein Diebstahl der Passwörter unwarscheinlich ist: Ein Passwortwechsel ist schnell durchgeführt, insbesondere wenn man - was jedem Anwender zu empfehlen ist - einen Passwortmanager nutzt. Wer mehr Sicherheit im Netz möchte, sollte Firmen zu einem transparenten Umgang mit Sicherheitslücken ermutigen - und sie nicht dafür abstrafen, wenn sie auch bei kleineren Problemen an die Öffentlichkeit gehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

xenofit 07. Mai 2018

Ich glaube er spielt darauf an: https://mobile.twitter.com/tmobileat/status...

madduck 07. Mai 2018

Schau Dir mal die FIDO Allianz an, bzw. UAF. Oder https://keyp.io. Passwörter haben...

Leseratte10 07. Mai 2018

Bei Yahoo wurden Passwörter schwach gehasht (wenn ich mich richtig erinnere), sie wurden...

Tuxgamer12 06. Mai 2018

Moment, du verstehst aber schon den Sinn vom Hashen? Natürlich musst du Passwörter im...

thrust26 05. Mai 2018

Doch, falls dasselbe Passwort auf verschiedenen Webseiten verwendet wird (wie es die...


Folgen Sie uns
       


DJI Robomaster S1 - Test

Was fährt da auf dem Flur entlang? Der Robomaster S1 ist ein flinker Roboter, mit dem wir Rennen fahren oder gegen andere Robomaster im Duell antreten können. Das macht einen Riesenspaß und ist auch ein guter Einstieg ins Programmieren.

DJI Robomaster S1 - Test Video aufrufen
Elektromobilität: Ein Besuch im tschechischen Grünheide
Elektromobilität
Ein Besuch im tschechischen Grünheide

Der Autohersteller Hyundai fertigt einen Teil seiner Kona Elektros jetzt in der EU. Im tschechischen Nošovice rollen pro Jahr bis zu 35.000 Elektroautos vom Band - sollte es keine Corona-bedingten Unterbrechungen geben. Ein Werksbesuch.
Von Dirk Kunde

  1. Crossover-Elektroauto Model Y fährt effizienter als Model 3
  2. Wohnungseigentumsgesetz Regierung beschließt Anspruch auf private Ladestelle
  3. Plugin-Hybride BMW setzt Anreize für höhere Stromerquote

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad

Videostreaming: So verändert Disney+ auch Netflix, Prime Video und Sky
Videostreaming
So verändert Disney+ auch Netflix, Prime Video und Sky

Der Markt für Videostreamingabos in Deutschland ist jetzt anders: Mit dem Start von Disney+ erhalten Amazon Prime Video, Netflix sowie Sky Ticket ganz besondere Konkurrenz.
Von Ingo Pakalski

  1. Disney+ Surround-Ton nur auf drei Fire-TV-Modellen
  2. Telekom-Kunden Verzögerungen bei der Aktivierung für Disney+
  3. Coronavirus-Krise Disney+ startet mit reduzierter Streaming-Bitrate

    •  /