Nachdem am 14.11.2008 ein unbefugter Eindringling in den Besitz eines Backend-Passwortes für typo3.org gekommen war, hatten die Betreiber die Frontend-Login-Möglichkeit sofort deaktiviert und eine Meldung an alle Frontend-User versendet, dass der Eindringling an die bis dato unverschlüsselten Passwörter kommen hätte können. Es wurde viel darüber diskutiert warum diese Passwörter dort überhaupt unverschlüsselt gespeichert werden (ja, das ist die Default-Einstellung von TYPO3). Ominöser allerdings finde ich die Informationspolitik der Betreiber von typo3.org. Ausser dieser einen offiziellen Meldung hat man bis zum heutigen Tag absolut nichts darüber erfahren. Angeblich ist der Angreifer identifiziert, angeblich wurden auf typo3.org erspähte Passwörter bereits zum Einbruch auf anderen Seiten verwendet. Und das mit dem deaktivierten Login auf typo3.org natürlich alle anderen Dienste (wie TER, SVN und weitere) ebenfalls nicht erreichbar sind, ist vielen Neulingen zudem schlicht nicht klar gewesen. Zudem hat dieses “Mißverständnis” (das es sich nicht um einen “Hack” sondern um einen “Diebstahl” gehandelt hat) zu einem sehr grossen (und eigentlich komplett überflüssigen) negativen Presseecho geführt.
Die extra eingerichtete FAQ-Seite ist ja auch irgendwie überflüssig, wie man einerseits am Aktualisierungsdatum und andererseits an den dort hinterlegten cryptischen Angaben wie “admin password was stolen” entnehmen kann. Sicherlich ist das Passwort nicht auf einem Zettel in der Geldbörse des Admins gewesen, von wo es dann gestohlen wurde…
Ein derartiger Einbruch in ein System wie typo3.org kann natürlich immer passieren – insofern ist da auch TYPO3 nicht davon gefeit. Das wirklich schlimme daran allerdings, wie dies zu den Benutzern kommuniziert wird – bis auf die obligatorische Standardmail – nämlich gar nicht.
Seit heute geht der Login wieder. Woher ich das weiss? Natürlich nicht von einer News der Association, sondern vom Frank, der es zufällig entdeckt hat.
Man hat nun scheinbar auf MD5 für Frontend-Passwörter umgeschwenkt – will man sich nämlich einloggen, kann man dies nicht, da das Passwort nicht mehr stimmt (wahrscheinlich wurde dies schlicht entfernt) und man kann ein neues anfordern. Daraufhin bekommt man ein zufällig generiertes 8-stelliges Passwort zugeschickt.
So ganz rund scheint die Sache noch nicht zu laufen, aber die meisten von mir ausprobierten Funktionen arbeiten wie vorgesehen. Allerdings habe ich trotzdem ein mulmiges Gefühl. Bis dies die Association (hoffentlich) entkräften kann, in dem sie endlich einmal offen legt, was dort genau passiert ist und vor allem zweifelsfrei darlegen kann, dass das System nun sicher mit meinen Daten umgeht, werde ich wohl auf die Nutzung von typo3.org verzichten.
November 22nd, 2008 at 12:32 pm
Da kann ich nur zustimmen. Der Einbruch ist in der Tat schlimm, eine Katastrophe ist jedoch die Kommunikationspolitik der Verantwortlichen. Hier gehört Transparenz und Offenheit an den Tag gelegt. Wie allseits bekannt, funktioniert Ssecurity by obscurity nicht. Hier erwarte ich mir mehr.