Robinhood hat Versehentlich Einige der Passwörter Seiner Benutzer im Klartext Belassen

Robinhood Plaintext Passwords

Robinhood Markets Inc. ist ein privates Finanzdienstleistungsunternehmen, das vor allem für seine provisionsfreie Aktienhandels-App bekannt ist. Es hat vor kurzem seine letzte Finanzierungsrunde abgeschlossen und hat einen geschätzten Wert von mehr als 7,6 Milliarden US-Dollar. Man könnte meinen, Robinhood wüsste genau, was beim Speichern von Passwörtern zu tun ist und was nicht, insbesondere angesichts der Tatsache, dass der Hauptdienst darin besteht, große Geldmengen auszutauschen. Zum größten Teil ist es eine faire Annahme, aber wie die Entwickler von Robinhood auf ihre Kosten erfahren haben, können Fehler gemacht werden, und wenn dies geschieht, kann der potenzielle Schaden ziemlich verheerend sein.

Wie Robinhood normalerweise die Passwörter der Benutzer speichert

Wir haben die Angelegenheit auf diesen Seiten erörtert und bereits erwähnt, dass Ihre Anmeldeinformationen für niemanden sichtbar sein sollten, auch nicht für die Mitarbeiter des Anbieters, wenn ein Onlinedienst Ihr Passwort korrekt speichert. Entwickler, die ihre Anwendungen und Websites nach den branchenüblichen Best Practices gestalten, führen die Passwörter der Benutzer vor dem Speichern in einer Datenbank einer kryptografischen Funktion namens Hashing zu . Durch das Hashing wird Ihr Passwort in eine zufällig aussehende Zeichenfolge (als Hash-Wert bezeichnet) umgewandelt, die keine visuelle Ähnlichkeit mit Ihrem Passwort aufweist. Da die Funktion (theoretisch) irreversibel ist, können die Hacker den Hash-Wert nicht verwenden, um zu erraten, was Sie haben Passwort ist.

Hashing hat auch seine Tücken. Wir haben kürzlich darüber gesprochen, wie veraltete Hashing-Algorithmen wie MD5 Ihre Passwörter gefährden können. Wir haben auch diskutiert, wie die Anwendung von Kryptografiesalzen ein wesentlicher Bestandteil des Hashing-Prozesses ist, da sichergestellt wird, dass zwei identische Kennwörter nicht dieselben Hash-Werte erzeugen.

Robinhood hat seine Hausaufgaben gemacht. Eine Hilfeseite mit dem Titel " Wie Sie geschützt sind " gibt an, dass Benutzerpasswörter mit bcrypt gehasht werden. Das sind gute Neuigkeiten. Bcrypt ist weithin als einer der stärksten derzeit verfügbaren Hashing-Algorithmen anerkannt und verfügt über integrierte Salting-Funktionen.

Anhand der uns vorliegenden Informationen können wir sagen, dass das System wahrscheinlich gut konzipiert ist. In letzter Zeit ist jedoch etwas schief gelaufen.

Robinhood-Passwörter wurden aufgrund eines technischen Fehlers im Klartext belassen

Anfang dieser Woche erhielten einige Robinhood-Benutzer Benachrichtigungen, in denen ihnen mitgeteilt wurde, dass ihre Passwörter nicht richtig gehandhabt wurden. Die E-Mails wurden zuerst von ZDNet gemeldet und es wurde angegeben, dass die Passwörter einiger Personen in einem lesbaren Format auf den Back-End-Servern von Robinhood gespeichert wurden. Sobald sie den Fehler entdeckten, begannen die Entwickler der App, ihn zu beheben. Zum Zeitpunkt der Benachrichtigung war die Sicherheitsanfälligkeit bereits behoben. Das Team von Robinhood gab an, keine Hinweise darauf zu haben, dass sich jemand außerhalb des Unternehmens die Passwörter ansieht. Trotzdem möchten die betroffenen Benutzer ihre Passwörter möglicherweise "aus Vorsicht" ändern. ZDNet fragte Robinhood nach der Anzahl der betroffenen Konten, doch die Sprecher der App beschlossen, sie nicht preiszugeben.

Dies ist nicht das erste Mal, dass dies passiert ist

Es muss gesagt werden, dass Menschen, die für Online-Dienste arbeiten, die viel größer sind als Robinhood, ähnliche Fehler gemacht haben. Im vergangenen Jahr gab Twitter beispielsweise bekannt, dass es für kurze Zeit die Passwörter aller 330 Millionen Benutzer in einfacher Form gespeichert hat. Einige Wochen zuvor gab GitHub zu, dass einige seiner Mitarbeiter auch im Klartext auf die Anmeldeinformationen der Benutzer zugreifen konnten. Mit anderen Worten, diese Dinge passieren immer wieder. Robinhood ist nicht die erste Anwendung, die die Passwörter von Personen intern offenlegt, und es wird wahrscheinlich nicht die letzte sein.

Dies macht das Problem jedoch nicht weniger ernst. In all diesen Fällen waren die Passwörter nur Mitarbeitern zugänglich, was die Gefahr etwas einschränkt. Trotzdem sollten Entwickler alles tun, um diese Fehler in Zukunft zu vermeiden.

Bis Duran
July 29, 2019
News
Deutsch
July 29, 2019
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.