In den letzten Tagen wurden zwei recht ähnliche Sicherheitsvorfälle bei Github und bei Twitter bekannt. Am Dienstag informierte Github eine Reihe seiner Nutzer und teilte ihnen mit, dass durch einen Fehler Passwörter im Klartext in einer Logdatei gespeichert waren. Zwei Tage danach ging auch Twitter mit einer ähnlichen Meldung an die Öffentlichkeit. Bei dem Kurznachrichtendienst waren danach wohl alle 330 Millionen Nutzer betroffen.
Passwörter standen im Klartext in den Logs
Eigentlich sollten Passwörter niemals im Klartext gespeichert werden, sondern nur mit Hash-Funktionen geschützt. Das machten auch beide Firmen so. Github und Twitter geben beide an, die Zugangsdaten mit der Bcrypt-Funktion zu speichern, einer speziell für Passwörter entwickelten Hash-Funktion.
Allerdings wird das Passwort auch bei der Nutzung von Passwort-Hashes beim Login im Klartext übertragen. Und dabei wurden wohl in beiden Fällen Login-Daten in Logs geschrieben, die letztlich das unverschlüsselte Passwort enthielten.
Mehr Lob als Kritik für Github und Twitter
In der Regel ist es ein Grund für völlig berechtigte Kritik, wenn Firmen in Sachen IT-Sicherheit schlampen. In diesem Fall sollte man sich das aber besser spare, denn schließlich waren die Vorfälle vergleichsweise harmlos.
Im Grunde hätten ja nur Mitarbeiter der beiden Firmen auf die Passwörter zugreifen können – aber es gibt nicht den geringsten Hinweis darauf, dass das passiert ist. Dass Nutzer gefährdet sind, scheint also eher unwahrscheinlich. Und trotzdem entschieden sich beide Unternehmen, offensiv mit den Sicherheits-Vorfällen umzugehen und ihre Kunden transparent darüber zu informieren.
