Da traute ich doch gerade meinen Augen kaum, als ich die eMail der TYPO3 Association laß. Hinter dem schönen Betreff “Important security warning” steckt eine Mail, die über einen wohl erfolgreichen Hack der typo3.org Website berichtet.
Der Angreifer soll sich einen administrativen Zugang zu den Benutzerdaten inkl. deren Passwörter verschafft haben. Es wird auch berichtet, dass bereits versucht wurde mit diesen Passwörtern Zugang zu anderen Websites zu erhalten. Die TYPO3 Association geht davon aus, dass die Daten bereits an Dritte weitergegeben wurden.
Aus diesem Grund wird dringend geraten Passwörter anderer Seiten zu ändern, falls diese identisch mit Deinem typo3.org Passwort sind.
Alle Benutzerkonten auf typo3.org sind erstmal gesperrt und müssen mit einem neuen Passwort versehen werden. Außerdem arbeitet die TYPO3 Association gerade an einem verbesserten Loginprozess. Ist dieser fertiggestellt, wird der Community-Login wieder möglich sein.
Unter der folgenden Adresse gibt es eine FAQ zu dem Thema:
http://typo3.org/about/faq/t3org-issue/
Der Angreifer ist bereits identifiziert und rechtliche Schritte werden unternommen.
Ich stelle mir allerdings die Frage, warum die Passwörter bei typo3.org nicht verschlüsselt in der Datenbank liegen?! Da sollte man schleunigst mal nachbessern… Oder wie sollte man die Zugangsdaten sonst auf anderen Seiten benutzen können?
Weitere Infos gibts unter ”Nachtrag - TYPO3.org gehackt“
Tags: TYPO3, Web-Entwicklung
17. November 2008 um 13:48
Die Passworte liegen sicherlich in der DB und sind md5 verschlüsselt. MD5 wurde jedoch vor ein paar (vielen) Monaten geknackt. Somit kann das jeweilige Passwort rekonstruiert werden.
17. November 2008 um 14:04
@Mirko: Also von richtigem “Knacken” von md5 würde ich da nicht sprechen. Eher von Einträgen in sog. Rainbow Tables und Brute Force Attacken auf den Hash…