Vor ein paar Tagen wurde das C hip.de Forum angegriffen.
Ich erstelle diesen Beitrag hier nicht aus Schadenfreude oder wg. "bla, weißt du schon das Neueste?!", sondern um aufzuzeigen dass sich weder Forenbetreiber noch User zurück lehnen dürfen. Außerdem wurde hier wieder deutlich, dass die "bösen Jungs" nicht nachlassen mit Versuchen für die Erbeutung von privaten Daten (und seien es "nur" Emailadressen mit Passwörtern).
Registrierte Benutzer bekamen heute folgende Email:
Liebe Forums-Mitglieder,
ein unberechtigter Dritter hat sich Zugriff auf die Verwaltung des CHIP Forums verschafft. CHIP nimmt diesen Vorfall sehr ernst: Deshalb wurde das Forum sofort abgeschaltet und unabhängige Forensik-Experten mit der Untersuchung des Angriffs beauftragt. Bis der genaue Angriffs-Weg nachvollzogen und die ausgenutzte Sicherheitslücke behoben ist, arbeiten die Systeme in einem sicheren Read-Only-Modus.
Was bedeutet das für die betroffenen User?
Wir wissen nicht, ob überhaupt Nutzerdaten entwendet wurden. Diese Meldung ist eine Vorsichtsmaßnahme im Sinne unserer User. Es ist jedoch nicht auszuschließen, dass E-Mail-Adressen und verschlüsselte Passwörter (so genannte Passwort-Hashes) entwendet wurden. Der Angreifer könnte mithilfe der Passwort-Hashes schwache User-Passwörter entschlüsseln. Daher sollten Nutzer, die dasselbe Passwort auch bei anderen Diensten verwenden, dort umgehend ein neues, sicheres Passwort erstellen.
Was unternimmt CHIP, um solche Angriffe in Zukunft zu verhindern?
Gemeinsam mit den externen Experten prüfen wir den genauen Angriffsweg. Anschließend wird die ausgenutzte Sicherheitslücke geschlossen. Sobald die Anmeldung im CHIP Forum wieder möglich ist, werden wir euch über einen Forenbanner informieren. Die User des Forums müssen ihr Passwort beim nächsten Login zurücksetzen.
***************
Einmal mehr wird hier wieder deutlich, wie wichtig es ist verschiedene (abgesehen von der Stärke) Passwörter zu nutzen. Ein nicht geringer Teil von PC-Nutzern schreibt aber wohl auch in Zukunft der Einfachheit halber nach wie vor überall das gleiche (noch dazu absolut schwache, weil leichter zu merken) Passwort in seine verschiedenen Dienste und Accounts.
Die Folgen davon müssen hier nicht erläutert werden.