Hacker erbeuten Profildaten von 200.000 Nutzern der SZ-Magazin-Website

Sie enthielten unter anderem Name, E-Mail-Adresse das als Hashwert gespeicherte Passwort, aber keine Bankverbindungen. Einfallstor war ein Blogsystem, das inzwischen deaktiviert wurde. Der Verlag hat Betroffene über den Vorfall informiert und Strafantrag gegen Unbekannt gestellt.

Unbekannte haben sich illegal Zugang zu einem Datenbank-Server des SZ- Magazin verschafft und dort gespeicherte Profilstammdaten kopiert. Wie eine Sprecherin der Verlagsgesellschaft Süddeutsche Zeitung gegenüber dem Branchendienst Kress bestätigte, sind von dem Angriff etwa 200.000 Nutzer der SZ-Magazin-Website betroffen.

Hacker (Bild: Shutterstock)Die erbeuteten Datensätze umfassen der Sprecherin zufolge in der Regel Pflichtangaben wie Anrede, E-Mail-Adresse, Vorname, Nachname, das als Hashwert gespeicherte Passwort und die Postleitzahl sowie freiwillige Angaben zu Geburtsdatum, Adresse und Telefonnummer. Bezahldaten wie Bankverbindungen seien aber „in keinem Fall“ enthalten.

Die Daten stammen von Anwendern, die sich unter sz-magazin.sueddeutsche.de registriert haben, um an Gewinnspielen teilzunehmen, die ehemalige Kommentarfunktion zu nutzen oder sich für den Newsletter anzumelden. Der Verlag hat nach eigenen Angaben alle Betroffenen umgehend per E-Mail über den Vorfall informiert.

„Der Angriff erfolgte über ein Blogsystem, das im Bereich des SZ-Magazins eingesetzt wird“, erklärte die Sprecherin. „Die entsprechenden Blogs sind aber inzwischen deaktiviert, sodass die Sicherheitslücke geschlossen ist.“ Der Verlag habe bei der Kriminalpolizei München Strafantrag gegen Unbekannt gestellt.

Betroffenen Nutzern wird empfohlen, ihr Passwort zu ändern. Dieses sollte aus einer mindestens acht Zeichen langen Kombination von Klein- und Großbuchstaben, Ziffern sowie Sonderzeichen bestehen.

Ähnliche Fälle von Datendiebstahl treten immer wieder auf. Für große Aufmerksamkeit sorgte kürzlich die Veröffentlichung von rund 117 Millionen Zugangsdaten des Business-Netzwerks LinkedIn. Die wahrscheinlich 2012 gestohlenen Datensätze wurden im Dark Web angeboten. Mit juristischen Drohungen setzte LinkedIn durch, dass die Hacker-Datenbank LeakedSource keine Suche mehr nach LinkedIn-Nutzerdaten ermöglicht.

In Folge der Veröffentlichung setzte der Social-News-Aggregator Reddit die Passwörter von rund 100.000 Nutzerkonten zurück. Und Microsoft stellt derzeit die Nutzerkontenverwaltung von Azure Active Directory und anderen Diensten dahingehend um, dass zu einfache oder generische Passwörter nicht mehr akzeptiert werden. Verwenden Nutzer eine in Microsofts dynamischer Blacklist enthaltene Passphrase, werden sie zur Änderung aufgefordert.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

2 Kommentare zu Hacker erbeuten Profildaten von 200.000 Nutzern der SZ-Magazin-Website

Kommentar hinzufügen
  • Am 30. Mai 2016 um 20:31 von Tester

    Hi Hi
    Dann haben sie ja die Daten von allen Nutzern ^^

  • Am 30. Mai 2016 um 20:52 von J. Achimsen

    Auch hier zeigt sich, dass Datensparsamkeit auch ein wichtiger Baustein der IT-Sicherheit ist. Ich hoffe die SZ wird nicht nur über technische Verbesserungen nachdenken sonder auch hinterfragen wieviele der Pflichtangaben wirklich notwendig sind. Auch inhaltlich sollte sie das als Anlass sehen Innenpolitikern entgegenzutreten die ein „Vermummungsverbot“ im Internet fordern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *