Datenleck Nutzerdaten und Passwörter waren bei DuMont frei einsehbar

Wer ein Nutzerkonto beim DuMont-Verlag besitzt, dessen Informationen standen wohl über Stunden ungeschützt im Netz. Der Verlag spricht von einem Hackerangriff, doch offenbar hat er selbst geschlampt.
Medienhaus DuMont Schauberg in Köln

Medienhaus DuMont Schauberg in Köln

Foto: Oliver Berg/ dpa

Für den DuMont-Verlag ist laut einer Pressemitteilung vom Sonntagvormittag klar: Man sei "Opfer eines Hackerangriffs geworden", wie der Verlag schreibt. Seit der Nacht zum Sonntag sind die Seiten der DuMont-Angebote wie "Express", "Kölner Stadt-Anzeiger", "Kölner Rundschau" und "Berliner Zeitung" offline.

Die Hintergründe hinter der Mitteilung von DuMont sind aber weitaus pikanter als ein paar Webseiten, die kurzzeitig nicht zu erreichen sind. Denn der Fall zeigt: DuMont hat offenbar bei der Sicherung seiner Sever geschlampt - und dadurch auch sensible Daten von mindestens 2000 Nutzern frei online zugänglich gemacht. Besondere Hacker-Kenntnisse brauchte man also nicht, um sich munter durch vertrauliche Informationen zu klicken.

DuMont schreibt hierzu , es habe "wahrscheinlich einen Zugriff Dritter auf Serverdaten" gegeben. Auf Twitter geisterte in der Nacht zum Sonntag ein Link zu einem DuMont-Server herum. Er wurde zum Beispiel auch an den "Welt"-Redakteur Stephan Dörner verschickt, per Direktnachricht. Der Link war also nicht öffentlich einsehbar.

Nutzer-Passwörter waren unverschlüsselt gespeichert

Dörner sah sich auf dem Server um - und war überrascht, dass er von außen sämtliche Verzeichnisse auf dem Server frei durchforsten konnte - wie es auch in diesem Blogeintrag  von Florian Wagner beschrieben wird, der den Link offenbar ebenfalls geschickt bekommen hatte.

Das darf eigentlich nicht passieren und sollte durch bestimmte Einstellungen von vornherein unmöglich sein, ein grundlegender Sicherheitsstandard. "Es wurden eklatante Fehler bei der Konfiguration der Server gemacht", sagte Dörner deshalb am Sonntag auf Anfrage.

Noch viel verheerender: Passwörter von Nutzern, die bei einer DuMont-Seite ein Konto haben, waren unverschlüsselt auf dem Server abgelegt. Normalerweise sollten sie in gehashter, also verschlüsselter Form gespeichert sein. Zusammen mit den Passwörtern habe er die User-ID, den Usernamen, Vor- und Zunamen, sowie die E-Mail-Adresse von rund 2000 Nutzern einsehen können, beschreibt Dörner.

Wer für sein E-Mail-Postfach dasselbe Passwort verwendet, hat sich somit leicht angreifbar gemacht, denn beide Informationen lagen frei einsehbar auf dem Server. Nutzer mit einem DuMont-Konto sollten deshalb ihr Passwort so schnell wie möglich ändern.  Dass Passwörter unverschlüsselt gespeichert werden, passiert dennoch immer wieder - prominentestes Beispiel ist wohl Sony.

Über Stunden passierte nichts, trotz Warnungen an den Verlag

Dörner - und jeder andere Nutzer im Besitz des Links - konnte außerdem PDFs von Studienbescheinigungen einsehen auf dem Server. Eine geschwärzte Version twitterte er:

Seit etwa neun Uhr morgens funktioniere der Link zum Server nun nicht mehr, so Dörner. Offenbar hat man bei DuMont reagiert, nachdem Twitter-Nutzer seit der Nacht versucht hatten, den Verlag zu warnen. "Betroffene Systeme sind aus Sicherheitsgründen abgeschaltet, um die Konsequenzen des Eingriffs analysieren zu können", heißt es nun.


Update, 14.30 Uhr: Ein Facebook-Eintrag  der Mitteldeutschen Zeitung, ebenfalls ein DuMont-Blatt, informiert Leser: "Alle gespeicherten Passworte wurden von uns gesperrt und zurückgesetzt." Ob die Formulierung "von uns" sich nur auf die Mitteldeutsche Zeitung und ihren Kundenstamm bezieht oder den gesamten Verlag, wird nicht klar. Außerdem schreibt die Zeitung, dass vor allem E-Paper-Kunden betroffen sind. Die betroffenen Onlineauftritte sollten laut einem DuMont-Sprecher am Mittag wieder erreichbar sein, sind dies aber aktuell noch nicht.

Die Wiedergabe wurde unterbrochen.