In der Imperva Data Breach wurden verschlüsselte Passwörter angezeigt

Manchmal kann uns ein unglückliches Ereignis dazu bringen, etwas Neues zu lernen. Lernen wir nicht alle aus Fehlern? Heute können wir aus Impervas Fehlern lernen.

Imperva ist ein Unternehmen für Cybersicherheitssoftware mit Sitz in Redwood Shores, Kalifornien. Dieses Unternehmen bietet seinen Kunden Schutz für Unternehmensdaten. Kunden erwerben Internet-Firewall-Dienste von Imperva, um Cyber-Angriffe und andere böswillige Cyber-Aktivitäten zu verhindern.

Leider hat Imperva bereits im August einen Datenverstoß gemeldet , von dem Tausende von Kunden betroffen waren. Dem Bericht zufolge wurden API-Schlüssel, E-Mail-Adressen, SSL-Zertifikate und mehrere verschlüsselte Kennwörter während dieser Sicherheitsverletzung offen gelegt.

Es gibt mehrere Aspekte, die in Bezug auf diese Datenschutzverletzung erörtert werden müssen, insbesondere wenn wir die Tatsache berücksichtigen, dass ein Unternehmen, das sich mit Cybersicherheit befasst, betroffen ist. Dieses Mal geben wir Ihnen jedoch einen kurzen Überblick über das Problem und konzentrieren uns dann auf verschlüsselte Kennwörter, die ebenfalls offen gelegt wurden. Haben Sie sich jemals gefragt, was ein verschlüsseltes Passwort ist?

Was ist mit Imperva passiert?

Wie bereits erwähnt, kam es bei Imperva zu einer Datenverletzung, durch die die Daten seiner Kunden Hackern ausgesetzt wurden. Der gesamte Vorfall scheint auf Fahrlässigkeit zurückzuführen zu sein, da über das Internet auf ein internes System zugegriffen werden konnte. Auf dem System, auf das über das Internet zugegriffen werden konnte, wurde eine Kopie des AWS-API-Schlüssels von Imperva gespeichert.

Nun, was ist das? AWS bezieht sich auf Amazon Web Services, eine Tochtergesellschaft von Amazon, die sich auf die Bereitstellung von Cloud-Computing-Plattformen spezialisiert hat. Ein API-Schlüssel ist ein API-Schlüssel (Application Programming Interface). Dies ist eine eindeutige Kennung, mit der das System einen Benutzer oder ein Programm authentifizieren kann, das versucht, die API zu erreichen. Die API ist wiederum ein Kommunikationsprotokoll zwischen einem Client und einem Server. Dies kann ein System sein, das auf einer Cloud-Plattform, einem Betriebssystem, einer Hardware usw. basiert. Wenn der API-Schlüssel gestohlen wird, können Hacker von außen auf das System von Imperva zugreifen.

Cybersecurity-Reporter sind der Ansicht, dass Imperva die Datenschutzverletzung zunächst nicht kannte und dass sie einige Monate später erfuhren, dass der Hacker eine Kopie ihres Datenbank-Snapshots heruntergeladen hat, mit dem ihr Relational Database Service (RDS) auf ihrer Cloud-Plattform ausgewertet wurde. Was bedeutet das? Dies bedeutet, dass der Hacker die Daten stehlen konnte, die sich im Snapshot befanden, und dass die Daten, die erstellt wurden, nachdem der Snapshot erstellt wurde, von der Sicherheitsverletzung nicht betroffen waren.

Insgesamt hat das Unternehmen nicht explizit angegeben, wie viele Kunden von der Datenschutzverletzung betroffen waren. Über 13.000 Passwörter und 13.000 SSL-Zertifikate wurden jedoch geändert und gedreht, nachdem die betroffenen Kunden darüber informiert wurden. Daher ist es leicht, den Umfang des Vorfalls mehr oder weniger zu erfassen.

Was ist ein verschlüsseltes Passwort?

Da wir mit der allgemeinen Übersicht über die Sicherheitsverletzung fertig sind, können wir einen der Datentypen, die offengelegt und durchgesickert sind, genauer untersuchen. Wir sprechen hier von verschlüsselten Passwörtern. Wenn Sie das Wort "Scramble" hören, denken Sie wahrscheinlich an das beliebte Online-Spiel oder Rührei, aber es ist wahr, dass wir auch unsere Passwörter verschlüsseln können.

Das Verschlüsseln von Passwörtern ist eine der Möglichkeiten, um sie sicher zu speichern und stärker zu machen. Beispielsweise verwendet Cyclonis Password Manager auch die Verschlüsselung von Passwörtern, um die Passwörter seiner Kunden in seinem Tresor zu speichern. Im Fall des Passwort-Managers werden gespeicherte Passwörter verschlüsselt. Es gibt jedoch andere Möglichkeiten zum Schutz von Kennwörtern, und die Informationen zur Verletzung von Imperva-Daten lassen darauf schließen, dass die offengelegten verschlüsselten Kennwörter gehasht und gesalzen wurden.

Was um alles in der Welt bedeutet das? Nun, Sie wissen wahrscheinlich, dass Sie etwas entschlüsseln können, sobald es verschlüsselt wurde, wenn Sie einen Entschlüsselungsschlüssel haben. Hashing hingegen bedeutet, dass die Daten nach dem Verschlüsseln nicht mehr dekodiert werden können. Unabhängig davon, welche Art von Datenzeichenfolge gehasht werden soll, ist die Länge der Ausgabe immer fest. Das heißt, egal, ob Sie mischen wollen, ich liebe Äpfel oder ich hasse Regen, bitte gehen Sie weg , die Länge der endgültigen Ausgabe wird gleich sein (wenn Sie den gleichen Algorithmus verwenden, um es zu hashen).

Da das Hashing nicht umgekehrt funktioniert, das Scrambeln der Zeichenfolge mit demselben Algorithmus jedoch dieselbe Ausgabe erzeugt, kann es zum Überprüfen und Authentifizieren des Zugriffs verwendet werden. Wenn die Datenbank beispielsweise Hash-Passwörter speichert und jemand ein Klartext-Passwort eingibt, um in die Datenbank zu gelangen, muss das System denselben Algorithmus anwenden, um das Klartext-Passwort zu hashen. Wenn der Hash-Wert mit dem in der Datenbank gespeicherten übereinstimmt, wird die Authentifizierung gewährt. Es ist auch sehr schwierig, ein gehacktes Passwort zu knacken, und die einzige Möglichkeit, dies zu tun, besteht darin, es brachial zu erzwingen.

Es ist noch schwieriger, es zu knacken, wenn gesalzen wird. In der Cybersicherheit bezieht sich Salt auf einen zufälligen Datenwert, der einem Kennwort hinzugefügt wird. Benutzer sehen diesen Wert nicht, er ist jedoch an ihre Kennwörter in den Computersystemen gebunden, um eine bessere Sicherheit zu gewährleisten. Mit anderen Worten, Ihre Passwörter werden nicht im Klartext gespeichert, da dies zu schrecklichen Datenverletzungen führen würde.

Innerhalb des Systems wird der Salzwert zufällig generiert. Es wird dem Klartextkennwort hinzugefügt, und dann wird normalerweise die gesamte Zeichenfolge gehasht (wie oben beschrieben). Die Verwendung unterschiedlicher Salt-Werte mit denselben Passwörtern führt zu völlig unterschiedlichen Hash-Werten. Wenn Sie also (im übertragenen Sinne) Salt auf Ihre Passwörter streuen, werden diese stärker.

Aus diesem Grund können wir davon ausgehen, dass das Stehlen von verschlüsselten Passwörtern nur dann lukrativ sein kann, wenn der Hacker über die Mittel verfügt, diese zu erzwingen. Natürlich gibt es eine solche Möglichkeit immer, und deshalb hat Imperva seine Kunden aufgefordert, ihre Passwörter zu ändern. Man kann jedoch auch sagen, dass der Diebstahl von verschlüsselten Passwörtern praktisch dasselbe ist wie der Diebstahl eines Safes ohne Schlüssel. Es ändert nichts an der Tatsache, dass die Daten verletzt wurden, aber zumindest gibt es dort ein wenig Silberstreifen.

Bis Foley
November 19, 2019
Password Security
Deutsch
November 19, 2019
Password Security

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.