Einbruch in typo3.org-Benutzerdatenbank entdeckt
Die TYPO3 Association hat daraufhin alle Besitzer eines typo3.org-Accounts per E-Mail über den Einbruch benachrichtigt. Als Besitzer eines typo3.org-Accounts sollte man sich nun gründlich überlegen, ob man das dort verwendete Passwort noch für andere Accounts genutzt hat. Falls ja, sollte man das Passwort dieser Accounts umgehend mit einem starken Passwort ersetzen, um dem Missbrauch dieser Accounts durch den typo3.org-Eindringling vorzubeugen.
Das TYPO3-Core-Team arbeitet bereits an der Absicherung von typo3.org und wird alle Besitzer eines typo3.org-Frontend-Accounts über die weiteren Schritte informieren. Zudem gibt es eine eigene FAQ-Seite zu diesem Vorfall.
Mit dem Einbruch auf typo3.org zeigt sich ein Defizit bei TYPO3-Standard-Installationen: Dort werden bei Frontend-Benutzern seit jeher die Passwörter entgegen der gängigen Praxis unverschlüsselt in der Datenbank gespeichert. Zwar existieren zahlreiche Extensions, die das Verschlüsseln der Frontend-Passwörter nachträglich zur Verfügung stellen wie kb_md5fepw, danp_sv_cryptauth und md5passwords. Allerdings konnte man sich aufgrund von komplizierten Migrations-Problemen beim Upgrade auf die neue Passwort-Logik bisher nicht zur offiziellen Integration dieser Erweiterungen in den TYPO3-Kern durchringen.
Generell empfiehlt es sich, im Internet nie ein Passwort für mehrere Accounts zu verwenden sondern stattdessen auf generierte, sichere Passwörter in Kombination mit einem Passwort-Tool wie Keepass oder 1Password zurückzugreifen.
Diesen Beitrag jetzt bookmarken!
Das ist schon ziemlich übel, dass in TYPO3 standardmäßig die Passwörter unverschlüsselt gespeichert werden.
Jeder Webmaster einer TYPO3 Community hat damit potenziell die Möglichkeiten, die der Hacker hat, der bei typo3.org eingebrochen ist.
@gomez: Das ist so nicht korrekt. Im TYPO3-Backend werden die Passwörter verschlüsselt gespeichert und sogar beim Login client-seitig "gehashed", was einem sehr hohen Sicherheitsstandard entspricht. Das Problem liegt lediglich beim Passwort-Handling der Frontend-User - hier sollte man einfach eine der vorhandenen Extensions in den Core integrieren.
@gomez: Eine einfache md5-Verschlüsselung bringt nicht viel, da sich md5-Passwörter in der Regel per sogenannten rainbow tables "entschlüsseln" lassen.
Ich spiele schon seit längerem mit dem Gedanken eine Extension für eine erweiterte md5-Verschlüsselung der Passwörter zu schreiben. Das Konzept ist einfach und sicher, aber bisher fehlte mir die Zeit.
@maerr In der Datenbank stehen die Passwörter der Frontenduser im Klartext. Nur die Passwörter der Backenduser sind verschlüsselt. Ausgehend von einer Standartinstallation natürlich.
Der Vorfall schockiert mich aber doch etwas. Bleibt nur zu hoffen dass der Angreifer die Daten nicht weitergibt oder sie systematisch ausnutzt um Zugriff auf Benutzerkonten auf anderen Websites zu haben.
@gomez
Das sehe ich genau so! Deshalb setzen wir standardmäßig bei allen Kunden mit geschützem Bereich die Extension "kb_md5fepw" ein! Warum man das nicht auch bei typo3.org gemacht hat bleibt mir ein Rätsel!!
Dazu kommt noch, dass sogar ein Admin-Passwort zum Backend zu kurz war!!
Ich hoffe, man hat aus diesem Vorfall gelernt...
Es wäre mal interessant zu erfahren ob die fe_user Passwörter auf TYPO3.org nun verschlüsselt oder PLAIN gespeichert worden. Wenn die Passwörter im Klartext gespeichert worden sind, halte ich das persönlich für grob fahrlässig.
@Sebastian Gebhard: stimmt! Meinte natürlich, dass die BE-User verschlüsselt in der DB gespeichert werden ;)
So weit ich weiß sind auf typo3.org die Passwörter der FE-User md5-gehashed. Ganz genau kann das natürlich nur einer der Admins von typo3.org sagen.
Nur hilft das wegen oben genannter Rainbow-Tables auch relativ wenig, wenn die Passwörter der FEUser zu kurz sind.
Überall treten Lücken auf. Das ist völig normal. Was nicht völlig normal ist, ist, dass die Verantwortlichen umfassend darüber informieren.
Dennoch ist das Auftreten der Lücke ein echter Imageschaden für Typo3. Vor allem, da es seit langem bekannt ist, wie man Passworte wenigstens einigermaßen sicher in einer Datenbank ablegen kann.
Und da dies bei den Backend-Usern auch getan wird, frage ich mich, wieso das bei den Frontend-Usern nicht defaultmäßig möglich ist.
Es ist schon bemerkenswert von typo3.org so mit Daten umzugehen. Sollte man meinen, gearde der Webmaster müsste Vorbild sein. Jeder normale Anwender benutzt zumindest die MD5 Erweiterungen. Auf den Datenschutz wollen wir ma besser nicht eingehen. Fazit: Ein derber Rückschalg im Ansehen von Typo3 der ncoh weite Kreise ziehen wird, und wir an der Front müssen das gegenteil beweisen. Puhh.
Ist etwas Offtopic aber ich wollte noch ne Kleinigkeit zum ersten Post @gomez sagen:
"Jeder Webmaster einer TYPO3 Community hat damit potenziell die Möglichkeiten, die der Hacker hat, der bei typo3.org eingebrochen ist."
Die Möglichkeit die Passwörter auszulesen hat ein Webmaster immer. Selbst wenn das System die Passwörter mit einem 100% sicheren Schlüssel speichern würde, könnte der Webmaster im PHP-Code die Benutzereingabe abfangen. Deshalb sollte man sich grundsätzlich nur bei Seiten anmelden, denen man vertraut. Eine Ausnahme ist OpenID, dort erhält der Webmaster nie Zugriff auf das Passwort.
Also jetzt sollte man doch mal die Kirche im Dorf lassen. Also ich meine doch, daß die Art der Daten, die hier angeblich ausgelesen wurden (was bedeutet das eigentlich genau "auslesen"?) sind ja nicht weltfrieden gefährdend.
Erstens müssen wir uns doch alle bewust sein, daß persönliche Daten im Internet immer mit einem Restrisiko hinterlegt werden. Von der Fußball-WM (man erinnere sich an den Klau von Millionen Personaldaten mit Personummer), wo kein Hahn mehr danach kräht bis zu den aktuellen Fällen aus dem Bankensektor, da ist daß hier doch nicht überzubewerten.
Fakt ist, das die Verantwortlichen von TYPO3 an dieser Stelle schnell Verbesserungen bringen müssen, was auch geschehen wird. Da bin ich mir sicher. Die Verantwortung des Einzelnen wird jedoch schnell immer auf die Systeme und den ach so wichtigen Datenschutz geschoben.
Ich bin gern im Internet, mache mir aber keine Illusion, was mit den Daten von mir an x Stellen passiert.
Einen Image-Schaden, wie oben sofort prophezeit, wird es nicht geben, denn die TYPO3-Gemeinschaft spricht offen darüber und steht zu fehlern und löst diese.
Na da sollte man doch den Ball flachhalten und vor der eigenen Türe kehren.
Ganz erlich Leute, die Welt hat andere Problem!
Gruß
TYPO3 ist klasse, keine Frage!
Der Vorfall zeigt einmal mehr, das der User selbst, die größte Schwachstelle im System ist. Egal ob Webmaster oder nicht.
Die meisten Fehler entstehen aus der menschlichen Bequemlichkeit heraus. Man gehe einfach nur mal durch einige Büros (auch bei anständigen Unternehmen, die eigentlich ihre Hausaufgaben machen) und man wird oft sehen, dass Zugangsdaten als Nottz am Monitor oder sonstwo kleben. Das ist krass, aber Realität.
Insgesamt leistet die Community um T3 phantastische Arbeit, auch wenn es natürlich nicht gut ist, keine PW Verschlüsselung für FE - PWs zu nutzen.
Man sollte jetzt erst mal abwarten und schauen, was genau passiert ist und durch wen...
Beste Grüße
Definitiv kein Spass, musste gestern auf 10 weiteren Seiten mein pass ändern.
Na wenigstens hats mich mal wieder über die Verteilung meiner Passwörter, und was ich doch inzwischen schon täglich so alles online "erledige" nachdenken lassen.
@Sebastian Gebhard: stimmt, wenn man Passwörter abfangen will und die entsprechenden Berechtigungen und Kenntnisse hat, kann man das auch tun.
Dennoch ist es einfach fahrlässig Passwörter im Klartext in einer Datenbank zu speichern, auch wenn die Betreiber der Site nur Gutes im Sinn haben und unabhängig davon, ob davon "nur" Frontend-Benutzer betroffen sind.
Letztere machen bei einer Community i.d.R die Mehrheit der Benutzer aus. Ein hoher Sicherheitsstandard sollte für alle Benutzer gelten.
Das ist dem Einbruch im Polizeirevier gleich. Ich habe immer davor gewarnt, den TYPO3-Zugang auch als Zugang für Microsoft Active Directory zu nutzen. Einige schlaue EDVauler kamen auf die Idee, ein Passwort für alles zu nutzen.
Intranet, Internet, Microsoft Active Directory und Exchangeserver nur mit einem Passwort für den Nutzer.
Man sollte lieber auf die richtigen Spezialisten hören. Wenn es um die Sicherheit eines Systemes geht, haben die Hobbisten nicht zu suchen.
@El Asmar
Um es noch einmal deutlich zu machen: Es hat sich jemand Zugriff auf typo3.org verschafft. Und auch wenn es so ähnlich klingt so hat das erstmal nichts mit dem CMS TYPO3 zu tun. So wie es derzeit aussieht wurde keine bekannte oder unbekannte Sicherheitslücke von TYPO3 benutzt.
Dieser Vorfall hätte vermutlich genauso passieren können, wenn typo3.org Joomla benutzen würde (nette Vorstellung).
Ein Website ist so sicher, wie deren Betreiber das Thema ernst nehmen. Jeder Webmaster kann entscheiden ob er die Passwörter gehasht oder im Klartext speichern lassen möchte und vor allem kann er natürlich sein eigenes Passwort sicher wählen.
Ich sehe prinzipiell kein Problem darin einen zentralen von TYPO3 verwalteten Login für verschiedene Bereiche einzusetzen. Ein wenig Gedanken sollte man sich ohnehin machen, egal mit welchem System man arbeitet.
Typo3 ist und bleibt eins der sichersten CMS im OpenSource Bereich. Ich kenne keine Gemeinschaft, die sich aktiver und schneller um ein System bemüht wie es die TYPO3 Gemeinde macht. Ich habe bisher viele CMS kennengelernt und bin schließlich doch bei Typo3 hängen geblieben, da es mich von Anfang an überzeugt hat.
Der Einbruch in die Datenbank hat nichts mit den CMS zu tun. Klar passieren Fehler und gerade sollche Fehler sollten nicht passieren. Aber aus Fehlern lernt man und man kann nun die Zugänge für User verbessern. Hoffentlich wird solch eine Verbesserung in den CMS Code einfließen.
Die Typo3 Gemeinde ist offen genug und ehrlich, mit diesen Thema umzugehen.
Und wenn jemand wirklich auf hunderten verschiedenen Seiten das gleiche Passwort hat, dem ist nicht mehr zu helfen.
@El Asmar:
eine Authentifizierung von FE-Usern über ADS würde ich einem "normalen" FE-User-Passwort vorziehen. Denn dazu braucht dieser ja in der T3-Datenbank keinen Eintrag mehr ... das bedeutet, dass man die DB gerne auslesen kann - da steht nur nichts sinnvolles drin Man könnte natürlich ein Notpasswort zulassen, dass aber über ADS abgeglichen werden muss und sich von dem dort hinterlegten unterscheiden muss.
Wenn Du natürlich meinst: User meldet sich im FE an und wird dann auch am ADS angemeldet - das ist zunächst mal no-go, klar.
Trotzdem hoffe ich auch darauf, eine möglichst per Hash + Salt umgesetzte Speicherung der FE-PWs als sysext vorzufinden ...