Abo
  • Services:

IMHO: Ein Lob für Twitter und Github

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!

Ein IMHO von Hanno Böck veröffentlicht am
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um.
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um. (Bild: Twitter)

Zwei Sicherheitsvorfälle, beide sehr ähnlich, wurden in den letzten Tagen bei Github und Twitter bekannt. Am Dienstag meldete sich Github bei einer Reihe seiner Nutzer und teilte ihnen mit, dass aufgrund eines Fehlers Passwörter im Klartext in einer Logdatei gespeichert wurden. Zwei Tage darauf ging Twitter mit einer ähnlichen Meldung an die Öffentlichkeit, dort waren demnach wohl alle Nutzer betroffen.

Stellenmarkt
  1. Coup Mobility GmbH, Berlin
  2. Brüel & Kjaer Vibro GmbH, Darmstadt

Normalerweise sollten Passwörter nie im Klartext gespeichert werden, sondern mit Hash-Funktionen geschützt. Das taten auch beide Firmen: Sowohl Github als auch Twitter geben an, ihre Zugangsdaten mit der Bcrypt-Funktion zu speichern, eine speziell für Passwörter entwickelte Hash-Funktion. Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen. In beiden Fällen wurden wohl Login-Daten in Logs geschrieben, die das unverschlüsselte Passwort enthielten.

Kleiner Vorfall, trotzdem Transparenz hergestellt

Wenn Firmen in Sachen IT-Sicherheit schlampen, ist das oft ein Grund für völlig berechtigte Kritik. Doch daran sollte man in diesem Fall sparen. Die Vorfälle waren vergleichsweise harmlos. Theoretisch hätten Mitarbeiter der Firmen auf die Passwörter zugreifen können, doch es gibt keinen Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, erscheint eher unwahrscheinlich. Trotzdem entschieden sich beide Firmen, offensiv mit den Vorfällen umzugehen und ihre Kunden zu informieren.

Das steht im lobenswerten Kontrast zu einem Umgang mit Sicherheitslücken, den man viel häufiger erlebt: Es wird verschwiegen, was möglich ist, und nur das Nötigste zugegeben. Beispiele dafür gibt es viele, etwa der jahrelang vertuschte Mega-Datendiebstahl bei Yahoo oder auch das völlig intransparente Verhalten der zuständigen Behörden und der Bundesregierung bei Hacks auf den Bundestag und die Regierungsnetze.

Dabei spricht viel für einen transparenten Umgang mit solchen Vorfällen. Es dürfte kein Zufall sein, dass Twitter zwei Tage nach Github eine sehr ähnliche Sicherheitslücke bekannt machte. Zwar gibt es dafür keine Belege, doch es ist naheliegend, dass Sicherheitstechniker bei Twitter nach der Github-Meldung geprüft haben, ob es dort ein ähnliches Problem gibt.

Transparenz führt zu mehr Sicherheit

Was klar sein dürfte: Viele andere Firmen werden sich in diesen Tagen auf die Suche nach ähnlichen Problemen machen. Sprich: Die Transparenz führt dazu, dass andere etwas daraus lernen und ihre Sicherheit verbessern können. Denn Sicherheitslücken sind in den seltensten Fällen einmalig, meistens werden die gleichen Fehler an vielen Stellen gemacht.

Nutzer von Github und Twitter können sich außerdem nun besser schützen. Auch wenn ein Diebstahl der Passwörter unwarscheinlich ist: Ein Passwortwechsel ist schnell durchgeführt, insbesondere wenn man - was jedem Anwender zu empfehlen ist - einen Passwortmanager nutzt. Wer mehr Sicherheit im Netz möchte, sollte Firmen zu einem transparenten Umgang mit Sicherheitslücken ermutigen - und sie nicht dafür abstrafen, wenn sie auch bei kleineren Problemen an die Öffentlichkeit gehen.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. 164,90€ + Versand

xenofit 07. Mai 2018

Ich glaube er spielt darauf an: https://mobile.twitter.com/tmobileat/status...

madduck 07. Mai 2018

Schau Dir mal die FIDO Allianz an, bzw. UAF. Oder https://keyp.io. Passwörter haben...

Leseratte10 07. Mai 2018

Bei Yahoo wurden Passwörter schwach gehasht (wenn ich mich richtig erinnere), sie wurden...

Tuxgamer12 06. Mai 2018

Moment, du verstehst aber schon den Sinn vom Hashen? Natürlich musst du Passwörter im...

thrust26 05. Mai 2018

Doch, falls dasselbe Passwort auf verschiedenen Webseiten verwendet wird (wie es die...


Folgen Sie uns
       


Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich

Link 300 und Link 500 von JBL, Onkyos P3, Panasonics GA10 sowie Apples Homepod treten in unserem Klangvergleich gegeneinander an. Die beiden JBL-Lautsprecher lassen die Konkurrenz blass aussehen, selbst der gar nicht schlecht klingende Homepod hat dann das Nachsehen.

Fünf smarte Lautsprecher von 200 bis 400 Euro im Vergleich Video aufrufen
Always Connected PCs im Test: Das kann Windows 10 on Snapdragon
Always Connected PCs im Test
Das kann Windows 10 on Snapdragon

Noch keine Konkurrenz für x86-Notebooks: Die Convertibles mit Snapdragon-Chip und Windows 10 on ARM sind flott, haben LTE integriert und eine extrem lange Akkulaufzeit. Der App- und der Treiber-Support ist im Alltag teils ein Manko, aber nur eins der bisherigen Geräte überzeugt uns.
Ein Test von Marc Sauter und Oliver Nickel

  1. Miix 630 Lenovos ARM-Detachable kostet 1.000 Euro
  2. Qualcomm "Wir entwickeln dediziertes Silizium für Laptops"
  3. Windows 10 on ARM Microsoft plant 64-Bit-Support ab Mai 2018

Razer Huntsman im Test: Rattern mit Infrarot
Razer Huntsman im Test
Rattern mit Infrarot

Razers neue Gaming-Tastatur heißt Huntsman, eine klare Andeutung, für welchen Einsatzzweck sie sich eignen soll. Die neuen optomechanischen Switches reagieren schnell und leichtgängig - der Geräuschpegel dürfte für viele Nutzer aber gewöhnungsbedürftig sein.
Ein Test von Tobias Költzsch

  1. Huntsman Razer präsentiert Tastatur mit opto-mechanischen Switches
  2. Razer Abyssus Essential Symmetrische Gaming-Maus für Einsteiger
  3. Razer Nommo Chroma im Test Blinkt viel, klingt weniger

Smartphone von Gigaset: Made in Bocholt
Smartphone von Gigaset
Made in Bocholt

Gigaset baut sein Smartphone GS185 in Bocholt - und verpasst dem Gerät trotz kompletter Anlieferung von Teilen aus China das Label "Made in Germany". Der Fokus auf die Region ist aber vorhanden, eine erweiterte Fertigung durchaus eine Option. Wir haben uns das Werk angeschaut.
Ein Bericht von Tobias Költzsch

  1. Bocholt Gigaset baut Smartphone in Deutschland

    •  /