typo3.org wurde gehackt!?
Ich habe vor wenigen Minuten von t3orgissue[AT]typo3.org eine Email erhalten, in der mir mitgeteilt wurde, dass typo3.org gehackt wurde und der Angreifer Zugang zu Benutzerdaten und Passwörtern hatte.
Der Login auf typo3.org wurde erstmal abgeschaltet, und eine FAQ wurde eingerichtet.
Außer dieser Mail habe ich noch keine weiteren Infos erhalten, auch eine offizielle News auf typo3.org konnte ich nicht finden.
In der Mail heisst es:
The offender had access to website user details including their passwords, and there have been reports of this data being used to access other websites.
It also has to be expected that the data may have been disclosed to third parties.
Der Login funktioniert aktuell tatsächlich nicht auf typo3.org. Ich denke diese Mail ist kein Fake, denn auch ein Kollege hat diese Mail bereits erhalten. Ich bin sehr gespannt ob und wann es dazu eine offizielle News geben wird.
Wenn dies alles so stimmt, dann ist dies erschreckend. Da fragt man sich doch, wozu es Verschlüsselungen gibt. Die Passwörter müssten auf typo3.org dann ja im Klartext gespeichert worden sein. -.-
Update [14.11. 14:31]: Laut Robert Lemke waren die Passwörter md5 verschlüsselt, das Passwort welches verwendet wurde, war lediglich zu einfach.
Update [15.11. 00:16]: Soeben kam auch eine offizielle News auf typo3.org rein. Inhaltlich leider noch nichts neues. Angeblich ist die News bereits 21 Stunden alt, vielleicht ein Cache Problem?
Update [15.11. 14:14]: Inzwischen haben bereits auch Heise und T3N darüber berichtet.
November 14th, 2008 at 13:33
typo3.org wurde gehackt!?…
Ich habe vor wenigen Minuten eine Email erhalten, in der mir mitgeteilt wurde, dass typo3.org gehackt wurde und der Angreifer Zugang zu Benutzerdaten und Passwörtern hatte….
November 14th, 2008 at 13:48
Also bei uns kam ebenfalls eine solche Mail an.
Hab bei mir ebenfalls einen Beitrag gepostet:
http://www.punsk.de/web-entwicklung/typo3org-gehackt/
Bis später
Tim
November 14th, 2008 at 14:35
[...] Da predigen die Deppen den ganzen Tag was von Sicherheit und tollen Konzepten und speichern dann die Passwörter im Klartext. [...]
November 14th, 2008 at 14:36
Die Mail hab ich auch bekommen. Erschreckend, dass die Passwörter im Klartext gespeichert wurden.
November 14th, 2008 at 14:37
@Michael: Laut Robert Lemke sind/waren die Passwörter verschlüsselt. Siehe mein Update oben im Artikel.
@Tim: Da waren wir beide ja sehr zeitgleich dran ;)
November 14th, 2008 at 14:42
Nein, nicht DIE Passwörter, sondern DAS Passwort war MD5-verschlüsselt. Das sind BE-Passwörter IMHO immer. Viel kritischer finde ich, dass die Passwörter der Nutzer (FE) scheinbar nicht verschlüsselt waren! (Welchen Sinn würde es sonst machen, darauf hinzuweisen, dass man seine Passwörter auf andere Seiten ändern soll?!)
November 14th, 2008 at 15:24
Ja, ich stimme Dir zu Michael, es war wohl das Passwort des BE Users, dieses war md5 verschlüsselt aber zu kurz. Die FE-User Passwörter sind wohl unverschlüsselt. Leider gibt es immer noch keine offizielle News auf typo3.org. Auch die FAQ gibt noch nichts neues her.
Sehr toll finde ich ja auch den Hinweis auf das Passwort-Manager-Tool, welches scheinbar nur für Windoof zu haben ist. Naja, mal schauen was heute noch so an Infos fließen werden.
November 14th, 2008 at 15:26
Der Hinweis macht schon Sinn … sollte jemand die MD5 Schlüssel mit Benutzernamen haben, hat der Jenige genug Zeit das richtige Passwort auf den MD5-String zu “probieren” (deshalb auch die gesperrte Anmeldung). Bleibt nur das Passwort zu wechseln.
November 14th, 2008 at 18:21
Die Seite wurde nicht gehackt, sondern ein PW eines BE-Users war zu einfach und wurde erraten – da kann kein System was gegen machen. TYPO3 fehlt eine “Passwortkomplexitätsprüfung” so wie unter Windows einstellbar…
November 14th, 2008 at 18:35
Hi Thomas,
dein Hinweis ist natürlich richtig, dennoch war es ein Hacker der die Site gehackt hat, ob durch ein Sicherheitsloch oder einfach nur weil ein BE User ein falsches Passwort gewählt hat.
Und das die FE-User Passwörter unverschlüsselt in der DB stehen ist auch nicht in Ordnung und steht denke ich nicht zur Diskussion ;) Der Titel ist vielleicht etwas reisserisch gewählt, aber mangels Informationen von typo3.org auch ein Stück gewollt. Ich vermisse immer noch eine offizielle Pressemitteilung. Imho gibt es außer der Mail noch keine weiteren Stellungennahmen.
November 14th, 2008 at 18:53
@Frank: Das stimmt! Aber meine 3 min Vorsprung konntest Du besser durch Deine große Anzahl hypes wett machen :-D
Naja, die Frage ist, auf welches Passwort bezieht sich Robert?! Dass das Admin-Passwort verschlüsselt war, davon gehe ich mal aus… Aber was ist mit den FE-Passwörtern? Laut der Nachricht im t3n-Blog klingt das eher nicht so… daraufhin hatte ich auch nochmal ein Update gepostet:
http://www.punsk.de/web-entwicklung/nachtrag-typo3org-gehackt/
@Thomas: wenn’s eine Brute-Force-Attacke auf den md5 war könnte man schon von Hack reden, oder? ;-) ansonsten gebe ich Dir Recht! Wenn schon die Admins von typo3.org keine sicheren Passwörter benutzen, sollte man über so eine Prüfung ernsthaft nachdenken!
November 14th, 2008 at 20:01
yeah spread the word ;)
und was nützt md5? genau rein gar nichts! also bitte bisschen weniger rumschrein wenn man sich weniger auskennt!
natürlich wäre md5 etwas besser, aber beschützen tuts rein gar nicht. und sind wir nicht alle in der branche tätig, die immer predigen: überall andere passwörter, nie die gleichen wo verwenden, nicht unter der tastatur kleben, nicht den namen der freundin oder des hundes zu nehmen usw? klingelts?
tragisch ists natürlich allemal
November 14th, 2008 at 20:13
Sorry Georg, aber da muss ich widersprechen.
Natürlich ist md5 nicht das Mittel der Wahl, aber eins ist klar, mein PW steht in keinem Wörterbuch und ist lang genug, dass ein Script zum decodieren von md5 sehr lange brauchen würde.
Jetzt nützt mir mein tolles Passwort aber rein gar nichts mehr, wenn dieses im Klartext in der DB von typo3.org stand. Es macht also schon einen großen Unterschied ob die PW im Klartext oder mindestens mit md5 verschlüsselt drin stehen.
November 15th, 2008 at 04:03
[...] oder hier: http://typo3weblog.de/?p=350 [...]
November 15th, 2008 at 11:10
@Thomas: das hätte ich nicht besser ausdrücken können!
Ist schon irgendwas Neues raus?
November 15th, 2008 at 12:17
Nein noch nichts neues, das letzte ist die offizielle News auf typo3.org, wie bereits oben im Artikel-Update genannt:
http://news.typo3.org/news/article/typo3org-important-security-warning/
November 17th, 2008 at 16:18
Also ich würde es meiden jetzt mich auf der typo3-Seite einzuloggen. Eine hochinteressante Seite in Sicherheitsbelangen ist zone-h.org . Dort werden u. a. auch defacement Angriffe vorgestellt. Beispielsweise wurde mehrmals die Microsoft-Homepage verunstaltet.
November 26th, 2008 at 16:40
so, es gab eine antwort von typo3.net!
passwörter liegen nicht verschlüsselt in der db:
http://www.punsk.de/web-entwicklung/nachtrag-typo3org-gehackt/
November 26th, 2008 at 18:43
Sorry, aber was hat bitte typo3.net mit typo3.org zu tun?
Die beiden Plattformen haben außer dem Thema TYPO3 nichts mit einander zu tun.
November 28th, 2008 at 19:55
Das ist richtig!
Allerdings handelt es sich bei typo3.net um eine rechte große TYPO3 Community, die ebenfalls auf der FE-Benutzerverwaltung basiert! Hinter der Plattform steht immerhin Mittwaldmedien… mich hatte es interessiert, wie bei anderen TYPO3-basierten Communities mit der Passwortverschlüsselung umgegangen wird…