Es wurde bestätigt: Die Kennwörter von XKCD-Benutzern wurden während einer Datenverletzung verletzt

XKCD Webcomic Forum Data Breach

Diejenigen unter Ihnen, die sich für Mathematik, Technologie und Informationssicherheit interessieren, haben wahrscheinlich den Namen Randall Munroe gehört. Er ist der Schöpfer des XKCD-Webcomics, der brillante Strichmännchen-Cartoons und eine gesunde Portion Humor verwendet, um diese Themen zu diskutieren. Mit XKCD hat Munroe seine Theorie der " richtigen Batterie " populär gemacht , wonach eine lange Passphrase , die aus vier zufälligen Wörtern besteht, leichter zu merken und sicherer ist als eine durcheinandergemischte Folge von Buchstaben, Zahlen und Sonderzeichen.

Am Freitag nutzte Troy Hunt, der Cybersicherheitsexperte und Erfinder des Warndienstes "Wurde ich bereits überprüft" , seine riesigen Twitter- Kontakte, um mit Randall Munroe in Kontakt zu treten. Er versuchte nicht zu erklären, warum die Theorie "Korrektes Pferdebatteriestapel" in der realen Welt möglicherweise nicht funktioniert. Er hat das vor einer Weile getan . Hunt versuchte Munroe mitzuteilen, dass Informationen, die XKCD-Fans gehören, aufgedeckt wurden.

Das XKCD-Forum wurde verletzt

Troy Hunt wurde anfangs von einem ethischen Hacker namens Adam Davies kontaktiert, der ihm mitteilte, dass das Forum, in dem über alles, was mit XKCD zu tun hat, diskutiert wurde, vor ein paar Monaten verletzt wurde. Schließlich gelang es Hunt, sich mit dem Administrator des Forums in Verbindung zu setzen, der den Verstoß bestätigte und Schritte unternahm, um das Problem zu beheben.

E-Mail-Benachrichtigungen wurden an betroffene Personen gesendet, das Forum wurde offline geschaltet und bleibt aus, während die Verantwortlichen versuchen, herauszufinden, was genau passiert ist. In der Zwischenzeit hat Troy Hunt die durchgesickerten Informationen von Adam Davies erhalten und in seinen Datenschutz-Benachrichtigungsdienst geladen. Dies bedeutet, dass Sie Ihre E-Mail-Adresse unter https://haveibeenpwned.com/ eingeben können, um festzustellen, ob Ihr Konto kompromittiert wurde.

Wie groß war die Verletzung?

XKCD ist eines der weltweit beliebtesten Webcomics, und Analyse-Tools weisen darauf hin, dass es monatlich Millionen Besuche gibt. In Anbetracht dessen scheint der Verstoß in den Foren nicht so schlimm zu sein. Es waren knapp 562.000 Konten betroffen, die zwar immer noch eine bedeutende Zahl sind, aber bei weitem nicht so groß sind, wie täglich Dutzende Millionen Datensätze anderer Websites und Anwendungen.

Darüber hinaus kann das XKCD-Forum kostenlos genutzt werden, dh es werden keine Finanzinformationen gespeichert. Laut der aktuell im Forum veröffentlichten Erklärung umfassen die Daten, die veröffentlicht wurden, IP-Adressen zum Zeitpunkt der Registrierung, Benutzernamen, E-Mails und "gesalzene, gehashte Passwörter".

Es ist davon auszugehen, dass die Passwörter der betroffenen Konten zurückgesetzt werden, wenn das Forum wieder online ist. Die Administratoren haben die Benutzer jedoch zu Recht gewarnt, dass sie ihr XKCD-Kennwort dringend ändern sollten, wenn sie es für andere Konten verwendet haben. Und das aus gutem Grund.

Selbst das stärkste Passwort kann einen schwachen Hashalgorithmus nicht schlagen

Wir sind uns ziemlich sicher, dass einige von Ihnen Randall Munroes "Korrektes Batterieheft" -System verwenden, während andere, wie Troy Hunt, sich auf Passwortgeneratoren verlassen. Unabhängig von Ihrer Haltung muss jedes einzelne Ihrer Konten mit einem sicheren, eindeutigen Kennwort geschützt werden. Leider reicht das manchmal nicht aus.

XKCDs Benachrichtigung über Datenschutzverletzungen besagt, dass die Hacker eine Sicherheitslücke in phpBB, der zugrunde liegenden Plattform des Forums, ausgenutzt haben. Die Tatsache, dass die Lücke bestand, deutet darauf hin, dass nicht alle Sicherheitsupdates installiert wurden. Die Passwort-Hash-Funktion weist auch auf veraltete Software hin.

Laut Have I Been Pwned wurden die Passwörter mit MD5 gehasht, was, wie wir vor nicht allzu langer Zeit erwähnt haben, ein absolut veralteter und unsicherer Hashing-Algorithmus ist. In der Tat wurden sie auch gesalzen, was das Abrufen der Anmeldeinformationen etwas erschwert. Die Tatsache, dass Ihr XKCD-Passwort mit MD5 geschützt wurde, bedeutet jedoch, dass es als gefährdet eingestuft und niemals wieder verwendet werden sollte.

September 4, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 5 + 6 ?