50.000 Euro Strafe: DailyMotion-Hacker fanden Admin-Passwort bei GitHub
Vor zwei Jahren brachen Hacker in die Systeme der Videoplattform DailyMotion ein. Sie bedienten sich dabei an Informationen, die sie auf GitHub fanden.
Angreifer finden immer wieder Zugangsdaten auf Code-Hosting-Plattformen wie GitHub.
(Bild: Pixabay)
- Fabian A. Scherschel
Beim Hack der Videoplattform DailyMotion gelang es unbekannten Angreifern Ende 2016, in die Server der Seite einzubrechen und eine Datenbank mit über 87 Millionen Nutzerkonten – inklusive knapp 18 Millionen Passwort-Hashes – mitgehen zu lassen. Nun wird deutlich, dass dies deswegen möglich war, weil die Betreiber der Seite ihren Quellcode auf GitHub veröffentlicht hatten. Unter anderem fand sich in dem Code-Repository das Passwort eines DailyMotion-Administrators.
50.000 Euro Bußgeld
Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat DailyMotion wegen dem Vorfall jetzt zu einem Bußgeld von 50.000 Euro verdonnert. DailyMotion habe seine Schutzpflicht gegenüber der persönlichen Daten seiner Nutzer vernachlässigt, so CNIL. Hätte die Firma grundlegende Maßnahmen zum Schutz der eigenen Infrastruktur getroffen, wäre der Angriff in dieser Form nicht möglich gewesen, so die Behörde. Da DailyMotion bei dem Einbruch allerdings nur E-Mail-Adressen in Verbindung mit gehashten Passwörtern – und nicht etwa Plaintext-Passwörter – abhanden gekommen sind, fällt die Geldstrafe noch einigermaßen gnädig aus.
Laut CNIL hatten die Angreifer den Quellcode der Videoplattform in einem öffentlichen Repository auf GitHub entdeckt und das Passwort eines Administrators im Code gefunden. Damit konnten sie sich Zugang zu den Systemen von DailyMotion verschaffen. Dann nutzten sie eine Schwachstelle aus, die sie ebenfalls auf GitHub entdeckt hatten, um die Daten zu exfiltrieren. CNIL kritisiert auch, dass es möglich gewesen sei, sich ohne VPN mit dem internen Netz der Firma zu verbinden.
Die Beim Einbruch die in DailyMotion-Systeme geleakten Passwörter sollen als Hashes mit dem Verfahren bcrypt geschützt gewesen sein. Dieses gilt als verlässlicher Schutz gegen Brute-Force-Angriffe. Trotzdem ist es nicht auszuschließen, dass Passwörter aus dem Datensatz inzwischen geknackt wurden. Vor allem, wenn diese kurz und ungenügend kreativ gewählt waren. (fab)
