Tim-Oliver Schulz am 14. November 2008

Da traute ich doch gerade meinen Augen kaum, als ich die eMail der TYPO3 Association laß. Hinter dem schönen Betreff “Important security warning” steckt eine Mail, die über einen wohl erfolgreichen Hack der typo3.org Website berichtet.

Der Angreifer soll sich einen administrativen Zugang zu den Benutzerdaten inkl. deren Passwörter verschafft haben. Es wird auch berichtet, dass bereits versucht wurde mit diesen Passwörtern Zugang zu anderen Websites zu erhalten. Die TYPO3 Association geht davon aus, dass die Daten bereits an Dritte weitergegeben wurden.

Aus diesem Grund wird dringend geraten Passwörter anderer Seiten zu ändern, falls diese identisch mit Deinem typo3.org Passwort sind.

Alle Benutzerkonten auf typo3.org sind erstmal gesperrt und müssen mit einem neuen Passwort versehen werden. Außerdem arbeitet die TYPO3 Association gerade an einem verbesserten Loginprozess. Ist dieser fertiggestellt, wird der Community-Login wieder möglich sein. 

Unter der folgenden Adresse gibt es eine FAQ zu dem Thema:
http://typo3.org/about/faq/t3org-issue/

Der Angreifer ist bereits identifiziert und rechtliche Schritte werden unternommen.

Ich stelle mir allerdings die Frage, warum die Passwörter bei typo3.org nicht verschlüsselt in der Datenbank liegen?! Da sollte man schleunigst mal nachbessern… Oder wie sollte man die Zugangsdaten sonst auf anderen Seiten benutzen können?

Weitere Infos gibts unter ”Nachtrag - TYPO3.org gehackt

Weitersagen: Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte finden und mit anderen teilen können.
  • Digg
  • del.icio.us
  • StumbleUpon
  • Reddit
  • Webnews
  • MisterWong
  • Y!GG
  • TwitThis

Tags: ,

2 Kommentare zu “TYPO3.org gehackt”

  1. Die Passworte liegen sicherlich in der DB und sind md5 verschlüsselt. MD5 wurde jedoch vor ein paar (vielen) Monaten geknackt. Somit kann das jeweilige Passwort rekonstruiert werden.

  2. @Mirko: Also von richtigem “Knacken” von md5 würde ich da nicht sprechen. Eher von Einträgen in sog. Rainbow Tables und Brute Force Attacken auf den Hash…

Schreibe ein Kommentar