Sicherheit: Ein Lob für Twitter und Github

Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!

Ein IMHO von Hanno Böck veröffentlicht am
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um.
Kein Fail: Twitter geht mit Sicherheitsproblemen transparent um. (Bild: Twitter)

Zwei Sicherheitsvorfälle, beide sehr ähnlich, wurden in den letzten Tagen bei Github und Twitter bekannt. Am Dienstag meldete sich Github bei einer Reihe seiner Nutzer und teilte ihnen mit, dass aufgrund eines Fehlers Passwörter im Klartext in einer Logdatei gespeichert wurden. Zwei Tage darauf ging Twitter mit einer ähnlichen Meldung an die Öffentlichkeit, dort waren demnach wohl alle Nutzer betroffen.

Stellenmarkt
  1. Informatiker (m/w/d) für IT Servicedesk - IT Helpdesk/IT Support 1st + 2nd Level
    Rail Power Systems GmbH, München
  2. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
Detailsuche

Normalerweise sollten Passwörter nie im Klartext gespeichert werden, sondern mit Hash-Funktionen geschützt. Das taten auch beide Firmen: Sowohl Github als auch Twitter geben an, ihre Zugangsdaten mit der Bcrypt-Funktion zu speichern, eine speziell für Passwörter entwickelte Hash-Funktion. Doch auch bei der Verwendung von Passwort-Hashes wird das Passwort beim Login im Klartext übertragen. In beiden Fällen wurden wohl Login-Daten in Logs geschrieben, die das unverschlüsselte Passwort enthielten.

Kleiner Vorfall, trotzdem Transparenz hergestellt

Wenn Firmen in Sachen IT-Sicherheit schlampen, ist das oft ein Grund für völlig berechtigte Kritik. Doch daran sollte man in diesem Fall sparen. Die Vorfälle waren vergleichsweise harmlos. Theoretisch hätten Mitarbeiter der Firmen auf die Passwörter zugreifen können, doch es gibt keinen Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, erscheint eher unwahrscheinlich. Trotzdem entschieden sich beide Firmen, offensiv mit den Vorfällen umzugehen und ihre Kunden zu informieren.

Das steht im lobenswerten Kontrast zu einem Umgang mit Sicherheitslücken, den man viel häufiger erlebt: Es wird verschwiegen, was möglich ist, und nur das Nötigste zugegeben. Beispiele dafür gibt es viele, etwa der jahrelang vertuschte Mega-Datendiebstahl bei Yahoo oder auch das völlig intransparente Verhalten der zuständigen Behörden und der Bundesregierung bei Hacks auf den Bundestag und die Regierungsnetze.

Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Dabei spricht viel für einen transparenten Umgang mit solchen Vorfällen. Es dürfte kein Zufall sein, dass Twitter zwei Tage nach Github eine sehr ähnliche Sicherheitslücke bekannt machte. Zwar gibt es dafür keine Belege, doch es ist naheliegend, dass Sicherheitstechniker bei Twitter nach der Github-Meldung geprüft haben, ob es dort ein ähnliches Problem gibt.

Transparenz führt zu mehr Sicherheit

Was klar sein dürfte: Viele andere Firmen werden sich in diesen Tagen auf die Suche nach ähnlichen Problemen machen. Sprich: Die Transparenz führt dazu, dass andere etwas daraus lernen und ihre Sicherheit verbessern können. Denn Sicherheitslücken sind in den seltensten Fällen einmalig, meistens werden die gleichen Fehler an vielen Stellen gemacht.

Nutzer von Github und Twitter können sich außerdem nun besser schützen. Auch wenn ein Diebstahl der Passwörter unwarscheinlich ist: Ein Passwortwechsel ist schnell durchgeführt, insbesondere wenn man - was jedem Anwender zu empfehlen ist - einen Passwortmanager nutzt. Wer mehr Sicherheit im Netz möchte, sollte Firmen zu einem transparenten Umgang mit Sicherheitslücken ermutigen - und sie nicht dafür abstrafen, wenn sie auch bei kleineren Problemen an die Öffentlichkeit gehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


xenofit 07. Mai 2018

Ich glaube er spielt darauf an: https://mobile.twitter.com/tmobileat/status...

madduck 07. Mai 2018

Schau Dir mal die FIDO Allianz an, bzw. UAF. Oder https://keyp.io. Passwörter haben...

Leseratte10 07. Mai 2018

Bei Yahoo wurden Passwörter schwach gehasht (wenn ich mich richtig erinnere), sie wurden...

Tuxgamer12 06. Mai 2018

Moment, du verstehst aber schon den Sinn vom Hashen? Natürlich musst du Passwörter im...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Umweltschutz: Leipziger Forscher entdecken Enzym für Plastikrecycling
    Umweltschutz
    Leipziger Forscher entdecken Enzym für Plastikrecycling

    Ein neu entdecktes Enzym soll das biologische Recycling von Kunststoff deutlich beschleunigen.

  2. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  3. Beschäftigte: Microsoft wird Prämien und Aktienoptionen stark erhöhen
    Beschäftigte
    Microsoft wird Prämien und Aktienoptionen stark erhöhen

    Microsoft muss, um seine Experten zu halten, deutlich mehr für Prämien und Aktienoptionen ausgeben. Meta hatte einigen das doppelte Gehalt geboten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /