Piraten entdecken Datenleck auf EU-Kommissions-Website

Nachtrag:
Wir wurden darauf aufmerksam gemacht, dass die Passwörter nicht unverschlüsselt, sondern in einem seit 2005  als unsicher geltendem Verschlüsselungsverfahren auf den Servern gespeichert wurden. Dieses Verfahren (md5) ist so unsicher, dass man online aus dem verschlüsselten Wort das Original zurückrechnen kann. Sämtliche anderen aufgezeigten Probleme behalten jedoch ihre Gültigkeit.

Userdaten einer offiziellen Internetseite der EU-Kommission können aufgrund mangelhafter Sicherheitsvorkehrungen von Angreifern abgefangen werden – das entdeckten unsere Mitglieder am Donnerstag.

Die EU-Kommissions-Website für audiovisuelle Services genügt nicht einmal den grundlegendsten Anforderungen an den Datenschutz – Passwörter und andere persönliche Angaben werden fahrlässig behandelt.

Bei Anmeldung auf der Website werden Telefonnummer, Adresse und das Passwort des Nutzers über eine unverschlüsselte Verbindung übertragen. Außerdem erhält der Nutzer die Zugangsdaten nach der Registrierung per E-Mail im Klartext zugesandt.

Es deutet alles darauf hin, dass die Passwörter auf den Servern der Kommission unverschlüsselt gespeichert werden. Dies steht in krassem Widerspruch zu gängigen Sicherheitsstandards.
Andreas Czák, Mitglied im Bundesvorstand und IT-Security-Spezialist

Bei jedem Login, etwa in Internet-Cafes oder offenen WLANs, werden die Logindaten im Klartext übertragen. So können Angreifer, aber auch die Administratoren der Seite sowie mitschneidende Geheimdienste das Passwort und sämtliche persönliche Daten auslesen.

Wenn die EU-Kommission nicht einmal die Kompetenz aufbringt, die Nutzer ihrer Services vor Datenklau zu schützen, wie soll ihr da erst bei Themen wie der NSA-Affäre oder der Datenschutzreform vertraut werden?
Bernhard Hayden, Netzpolitiksprecher der Piratenpartei

Erst am vorangegangenen Freitag war ein Hackerangriff auf persönliche Konten von Abgeordneten des EU-Parlaments bekannt geworden, bei dem über 40.000 teils hochbrisante E-Mails abgefangen wurden.

 

2 Kommentare

  1. 1

    „Dieses Verfahren (md5) ist so unsicher, dass man online aus dem verschlüsselten Wort das Original zurückrechnen kann. “

    md5 ist ein einweg hash algorithmus, zurückrechnen geht da nicht – was es gibt sind einfach nur lookup databases, wo man mit vorberechneten hashes vergleicht oder nach Kollisionen schaut.

    • Sonstwer

      Ja md5 ist eine Hashfunktion, eigentlich müsste bei Verwendung solch einer Hash Funktion ein Salt hinzugefügt werden.

      Es ist eine Vereinfachung, wenn ich behaupte, dass das Passwort zurückgerechnet werden kann. Im Endeffekt werden Rainbow Tables vorberechnet und in einer Datenbank, die diese vorberechneten Werte enthält kann nachgeschaut werden, welcher Hashwert zu welchem Passwort gehört.

      Ich habe diese vereinfachte Ausdrucksweise benutzt, da ich nicht denke, dass Journalisten und „einfache“ Bürger viel mit den Begriffen Hashfunktion (Legalisierung?) oder Rainbowtable (Regenbogen?) anfangen können

      LG
      Sonstwer