Website Drupal.org gehackt, Zugriff auf rund eine Million Nutzerdaten
Die Betreiber der Website drupal.org reagieren mit einem Passwort-Reset. Das Content-Management-System Drupal selbst soll nicht betroffen sein.
Die Projektseite des Content-Management-Systems Drupal ist gehackt worden. Es wurden Zugriffe auf alle Nutzerdaten für Drupal.org und Groups.Drupal.org registriert. Die Betreiber reagierten mit dem Zurücksetzen aller Drupal.org-Passwörter. Nutzer sollen sich nun ein neues Passwort zuweisen lassen. Davon dürften mindestens 935.000 Nutzer betroffen sein.
Drupal versichert, dass nicht eine SicherheitslĂĽcke in Drupal, sondern eine auf den Drupal.org-Servern installierte Drittanbietersoftware fĂĽr den Datenklau verantwortlich sei. Diese soll ĂĽber eine mittlerweile geschlossene SicherheitslĂĽcke der Serversoftware eingeschleust worden sein.
Die Angreifer hatten Zugriff auf alle Nutzerdaten wie Usernamen, Email-Adressen, Länderinformationen und die gehashten Passwörter. Einige ältere Passwörter sollen nicht gesalted gewesen sein. Ob aber noch andere Daten betroffen sind, wird bei Drupal noch untersucht. Kreditkartendaten sollen auf den Servern nicht gespeichert worden sein.
Auf der zu dem Vorfall eingerichteten Informationsseite geben die Betreiber an, als Reaktion auf den Servern einen speziell gehärteten Linux-Kernel (GRSEC) installiert zu haben. Auch geben sie einen Hinweis auf das Zurücksetzen der Passwörter. Dieser Vorgang scheint sich durch den großen Ansturm von Nutzern schon auf die Server auszuwirken. Obwohl zunächst eine Wartezeit von circa 15 Minuten in Aussicht gestellt wurde, vertröstet Drupal jetzt schon auf eine Wartezeit von bis zu einer Stunde. (kbe)