Forscher: IEEE-Site machte 100.000 Passwörter öffentlich

Einem Informatiker zufolge waren auf einem FTP-Server des Institute of Electrical and Electronics Engineers (IEEE) rund 100.000 als Text gespeicherte Nutzernamen und Passwörter als Teil von Webserver-Logdateien öffentlich zugänglich. Radu Dragusin schreibt, er habe das IEEE letzte Woche informiert, was ihm die Möglichkeit gab, die Schwachstelle „zumindest teilweise“ zu beheben.

Durch IP-Adressen-Lokalisierung erstellte Karte der kompromittierten IEEE-Mitglieder (Bild: Radu Dragusin)

Die Daten sollen mindestens einen Monat lang über das File Transfer Protocol (FTP) abrufbar gewesen sein. Die betroffenen IEEE-Mitglieder arbeiten etwa bei Apple, Google, IBM, der NASA, Oracle, Samsung oder der Universität Stanford. Aufgrund der Lücke waren auch die Logs aller ihrer Interaktionen mit den Sites ieee.org sowie spectrum.ieee.org exponiert.

Dragusin selbst arbeitet bei FindZebra. Er lehrt zudem an der Universität Kopenhagen. Für die Meldung der Lücke scheint er extra die Domain ieeelog.com eingerichtet zu haben.

Die IEEE kommentierte gegenüber News.com, sie habe von einem Zwischenfall erfahren, bei dem versehentlich Zugriff auf unverschlüsselte Logdateien möglich gewesen sei. „Wir haben eine gründliche Untersuchung vorgenommen, und das Problem wurde gelöst. Wir benachrichtigen gerade alle Betroffenen.“

Dragusin zufolge machten die Betreiber des Servers gleich eine Reihe von Fehlern. So sollten Webserver-Logs nie öffentlich verfügbar sein. Für Passwörter gelte ein mit Salt versehendes Hashing als beste Lösung, da dies eben im Fall eines Zugriffsfehlers die Auswirkungen verringern würde. Und schließlich sei es grundsätzlich unsicher, Passwörter in Logs zu speichern – und dann auch noch unverschlüsselt.

[mit Material von Elinor Mills, News.com]