Einem Informatiker zufolge waren auf einem FTP-Server des Institute of Electrical and Electronics Engineers (IEEE) rund 100.000 als Text gespeicherte Nutzernamen und Passwörter als Teil von Webserver-Logdateien öffentlich zugänglich. Radu Dragusin schreibt, er habe das IEEE letzte Woche informiert, was ihm die Möglichkeit gab, die Schwachstelle „zumindest teilweise“ zu beheben.
Die Daten sollen mindestens einen Monat lang über das File Transfer Protocol (FTP) abrufbar gewesen sein. Die betroffenen IEEE-Mitglieder arbeiten etwa bei Apple, Google, IBM, der NASA, Oracle, Samsung oder der Universität Stanford. Aufgrund der Lücke waren auch die Logs aller ihrer Interaktionen mit den Sites ieee.org sowie spectrum.ieee.org exponiert.
Dragusin selbst arbeitet bei FindZebra. Er lehrt zudem an der Universität Kopenhagen. Für die Meldung der Lücke scheint er extra die Domain ieeelog.com eingerichtet zu haben.
Die IEEE kommentierte gegenüber News.com, sie habe von einem Zwischenfall erfahren, bei dem versehentlich Zugriff auf unverschlüsselte Logdateien möglich gewesen sei. „Wir haben eine gründliche Untersuchung vorgenommen, und das Problem wurde gelöst. Wir benachrichtigen gerade alle Betroffenen.“
Dragusin zufolge machten die Betreiber des Servers gleich eine Reihe von Fehlern. So sollten Webserver-Logs nie öffentlich verfügbar sein. Für Passwörter gelte ein mit Salt versehendes Hashing als beste Lösung, da dies eben im Fall eines Zugriffsfehlers die Auswirkungen verringern würde. Und schließlich sei es grundsätzlich unsicher, Passwörter in Logs zu speichern – und dann auch noch unverschlüsselt.
[mit Material von Elinor Mills, News.com]
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…