Angreifer erbeuten Nutzerdaten von sz-magazin.de
Ein Unbefugter habe sich Mitte Mai rechtswidrig Zugriff auf einen Datenbankserver des SZ-Magazins verschafft.
(Bild: dpa, Oliver Berg/Symbol)
- dpa
Bei einem Angriff auf die Website des Süddeutsche Zeitung Magazins sind mit hoher Wahrscheinlichkeit Daten von Nutzern erbeutet worden. Ein Unbefugter habe sich Mitte Mai 2016 rechtswidrig Zugriff auf einen Datenbankserver des SZ-Magazins verschafft, teilte der Verlag am Montag mit. "Auf diesem sind Profil-Stammdaten gespeichert, mit denen sich Nutzer in der Vergangenheit unter sz-magazin.sueddeutsche.de registriert hatten", etwa um an Gewinnspielen teilzunehmen, hieß es. Außerdem seien Profildaten betroffen, die für eine Kommentarfunktion und die Anmeldung für bestimmte Newletter benötigt wurden.
Neben der E-Mail- und Postadresse der Kunden standen auch verschlüsselte Passwörter in der gehackten Datenbank. Die Passwörter wurden als kryptologischer Hashwert gespeichert. Da es trotzdem möglich sei, gerade einzelne Passwörter zu knacken, forderte der Verlag die betroffenen Kunden auf, ihre Zugangsdaten zu ändern.
Schwachstellen geschlossen
Um etwas über die tatsächliche Gefahr für die Passwörter zu sagen, müsste bekannt sein, wie die Hashes erzeugt wurden. Aber genauere Angaben, ob es sich dabei womöglich wie bei LinkedIn etwa um sehr einfach zu knackende, ungesalzene SHA1-Hashes oder um ein tatsächlich sicheres Verfahren wie PBKDF2 oder bcrypt handelt, machte der Verlag nicht. Unsere Anfragen dazu blieben bislang unbeantwortet.
Der Angriff erfolgte dem Verlag zufolge über Blogseiten beziehungsweise. Blogfunktionen, die mittlerweile deaktiviert wurden. "Dadurch wurden die für den Angriff verantwortlichen Schwachstellen geschlossen. Erneute Angriffsversuche wurden daraufhin nicht mehr festgestellt." Alle betroffenen Nutzer seien per E-Mail über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden. Außerdem wurde bei der Kriminalpolizei München Strafantrag gegen Unbekannt gestellt.
[UPDATE, 31.05.2016, 08:50 Uhr]
In einer Mitteilung gegenüber heise Security erklärt eine Sprecherin, dass die SZ grundsätzlich keine Stellungnahme zu "internen technischen Details wie die Art der Verschlüsselung" abgibt. (anw)
