Datenleck Nutzerdaten und Passwörter waren bei DuMont frei einsehbar

Wer ein Nutzerkonto beim DuMont-Verlag besitzt, dessen Informationen standen wohl über Stunden ungeschützt im Netz. Der Verlag spricht von einem Hackerangriff, doch offenbar hat er selbst geschlampt.

Medienhaus DuMont Schauberg in Köln
DPA

Medienhaus DuMont Schauberg in Köln

Von


Für den DuMont-Verlag ist laut einer Pressemitteilung vom Sonntagvormittag klar: Man sei "Opfer eines Hackerangriffs geworden", wie der Verlag schreibt. Seit der Nacht zum Sonntag sind die Seiten der DuMont-Angebote wie "Express", "Kölner Stadt-Anzeiger", "Kölner Rundschau" und "Berliner Zeitung" offline.

Die Hintergründe hinter der Mitteilung von DuMont sind aber weitaus pikanter als ein paar Webseiten, die kurzzeitig nicht zu erreichen sind. Denn der Fall zeigt: DuMont hat offenbar bei der Sicherung seiner Sever geschlampt - und dadurch auch sensible Daten von mindestens 2000 Nutzern frei online zugänglich gemacht. Besondere Hacker-Kenntnisse brauchte man also nicht, um sich munter durch vertrauliche Informationen zu klicken.

DuMont schreibt hierzu, es habe "wahrscheinlich einen Zugriff Dritter auf Serverdaten" gegeben. Auf Twitter geisterte in der Nacht zum Sonntag ein Link zu einem DuMont-Server herum. Er wurde zum Beispiel auch an den "Welt"-Redakteur Stephan Dörner verschickt, per Direktnachricht. Der Link war also nicht öffentlich einsehbar.

Nutzer-Passwörter waren unverschlüsselt gespeichert

Dörner sah sich auf dem Server um - und war überrascht, dass er von außen sämtliche Verzeichnisse auf dem Server frei durchforsten konnte - wie es auch in diesem Blogeintrag von Florian Wagner beschrieben wird, der den Link offenbar ebenfalls geschickt bekommen hatte.

Das darf eigentlich nicht passieren und sollte durch bestimmte Einstellungen von vornherein unmöglich sein, ein grundlegender Sicherheitsstandard. "Es wurden eklatante Fehler bei der Konfiguration der Server gemacht", sagte Dörner deshalb am Sonntag auf Anfrage.

Noch viel verheerender: Passwörter von Nutzern, die bei einer DuMont-Seite ein Konto haben, waren unverschlüsselt auf dem Server abgelegt. Normalerweise sollten sie in gehashter, also verschlüsselter Form gespeichert sein. Zusammen mit den Passwörtern habe er die User-ID, den Usernamen, Vor- und Zunamen, sowie die E-Mail-Adresse von rund 2000 Nutzern einsehen können, beschreibt Dörner.

Wer für sein E-Mail-Postfach dasselbe Passwort verwendet, hat sich somit leicht angreifbar gemacht, denn beide Informationen lagen frei einsehbar auf dem Server. Nutzer mit einem DuMont-Konto sollten deshalb ihr Passwort so schnell wie möglich ändern. Dass Passwörter unverschlüsselt gespeichert werden, passiert dennoch immer wieder - prominentestes Beispiel ist wohl Sony.

Über Stunden passierte nichts, trotz Warnungen an den Verlag

Dörner - und jeder andere Nutzer im Besitz des Links - konnte außerdem PDFs von Studienbescheinigungen einsehen auf dem Server. Eine geschwärzte Version twitterte er:

Seit etwa neun Uhr morgens funktioniere der Link zum Server nun nicht mehr, so Dörner. Offenbar hat man bei DuMont reagiert, nachdem Twitter-Nutzer seit der Nacht versucht hatten, den Verlag zu warnen. "Betroffene Systeme sind aus Sicherheitsgründen abgeschaltet, um die Konsequenzen des Eingriffs analysieren zu können", heißt es nun.


Update, 14.30 Uhr: Ein Facebook-Eintrag der Mitteldeutschen Zeitung, ebenfalls ein DuMont-Blatt, informiert Leser: "Alle gespeicherten Passworte wurden von uns gesperrt und zurückgesetzt." Ob die Formulierung "von uns" sich nur auf die Mitteldeutsche Zeitung und ihren Kundenstamm bezieht oder den gesamten Verlag, wird nicht klar. Außerdem schreibt die Zeitung, dass vor allem E-Paper-Kunden betroffen sind. Die betroffenen Onlineauftritte sollten laut einem DuMont-Sprecher am Mittag wieder erreichbar sein, sind dies aber aktuell noch nicht.



insgesamt 11 Beiträge
Alle Kommentare öffnen
Seite 1
der_durden 10.04.2016
1.
Auch wenn jeder Angriff auf einen Server eine Straftat ist, dass ein Verlag im Jahr 2016, nach unzähligen Lehrstunden gleicher Vorkommnisse in der Wirtschaft, Passwörter in Klartext in der Datenbank vorhält, ist schlichtweg eine Frechheit und müsste im Grunde auch geahndet werden. Hier müssen Gesetze her, auf dass man gegen so ein fahrlässiges Handeln vorgehen kann. Sich nun darauf zurückzuziehen, dass man angegriffen wurde ist ein schlechter Scherz!
h.weidmann 10.04.2016
2.
Unverschlüsselt gespeicherte Passwörter und frei einsehbare Verzeichnisse auf einem Apache? Ich schließe mich dem durden an, das ist eine Frechheit. Da wurde nicht nur geschlampt, da ist in Sachen IT-Sicherheit wohl eher gar nichts passiert. Schaut Euch mal nach einem guten ItSiBe um, der die Lücken schließt, so schwer ist das nicht Empfehle ich übrigens auch Mossack Fonseca :-)
TS_Alien 10.04.2016
3.
Die Ausrede mit dem Hackerangriff wird viel zu oft gewählt. Hacker können nicht zaubern. Selbst bei (unbekannten) Sicherheitslücken in Programmen oder Betriebssystemen kann man sein System schützen, wenn man nur ganz bestimmte Kommunikationsmöglichkeiten zulässt und an den wichtigen Stellen Firewalls und Monitorprogramme verwendet. 1. Die Datei mit den verschlüsselten Passwörtern für das Kundensystem liegt z.B. auf einem separaten Rechner. Dieser Rechner erlaubt nur Anfragen, ob ein Passwort OK ist oder nicht. Alle anderen Kommunikationsmöglichkeiten mit diesem Rechner vom Kundensystem ausgehend sind abgeschaltet. 2. Datendiebstähle sind oftmals nur möglich, weil selbst die einfachsten Sicherheitsmaßnahmen nicht beachtet werden. 3. Etliche Datendiebstähle gehen gar nicht auf das Konto von Hackern, sondern werden von Mitarbeitern begangen oder verursacht. Eine Passwort-Datei ist schnell kopiert und mitgenommen und kann dann offline auf schwache Passwörter überprüft werden. Ein simpler Wörterbuchangriff dürfte auch bei verschlüsselten Passwörtern viele Treffer liefern.
hanfiey 10.04.2016
4. Firewall
hätte schon geholfen, die Dienste die nicht gebraucht werden sollten auch abgeschaltet sein. Tja wenn die Techniker in der Fachkräftemangel platt gemacht werden muss der Lehrling ran(erstes Jahr Gebäudemanagement) Wenn dann auch Kontoverbindungen dabei waren wird es kriminell.
traveller25 10.04.2016
5. Omg!
was für eine katastrophale tragische Meldung! Gut dass der Sack Reis in China diesmal nicht umgefallen ist! Auch gute Nachrichten sollten gebracht werden! Also ran und sofort eine Schlagzeile machen, von nichts kommt nichts!
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.