Achtung: Bit.ly-Konten kompromitiert


Wer kennt sie nicht: diese wundervoll kurzen Adressen a la „bit.ly/abc“ oder http://j.mp/KlosterKirche (als Beispiel-Link)?! Dahinter steckt einer der größten und populärsten s.g. URL-Verkürzungsdienste mit dessen Hilfe man aus ellenlangen nur schwer zu merkenden Internetadressen schöne kurze, einfache Adressen machen kann.

bit.ly Logo

Logo des bit.ly Dienstes

Seit Ende April sind nun einige Warnmeldungen im Umlauf, die mittlerweile sogar die großen Medien wie Spiegel-Online, Der STERN, Computerbild, Chip und etliche weitere namhafte Medien erreicht haben. Dabei sind die Aussagen unterschiedlich allerdings leider unterschiedlich und während mancher Blogger dem Leser asl „alles Humbug“ verharmlost, liest man bis zum „sollte man unbedingt machen“ vielerlei Unterschiedliches und bei mir sammeln sich jede Menge Anrufer, die nun gar nicht mehr damit umzugehen wissen.

Kurzum: Ja, es ist was dran und alle bit.ly-Benutzer sind aufgefordert auch ihre Passwörter anzupassen, die Dienste neu zu verbinden und einige weitere Maßnahmen zu ergreifen.

Doch bevor auch ich jetzt weit aushole, so dachte ich mir, übersetze ich euch lieber einfach mal was der Dienstanbieter selbst dazu sagt …

Die Kunden sind aufgefordert auch ihren Teil beizutragen.

Bit.ly fordert seine Kunden auf auch ihren Teil zur Sicherheit gegen Attacke beizutragen. Ein Beispielhaft gelöster Angriff schlägt bisher fehl.

Mit der Überschrift: Urgent Security Update Regarding Your Bitly Account. spricht der Anbieter auf seinen Infoseiten folgende eine (hiermit vom englischen ins deutsche -frei- übersetzte) Warnung aus:

Dringende Sicherheitsupdate in Bezug auf Ihre Bitly Konto

UPDATE # 4 – 11. Mai, um 11:33 Uhr EDT:

Wir haben an alle Benutzer der Domain bitlysupport.com eine E-Mail versendet, in der wir die nächsten Schritte erklären, die es braucht um Ihr Konto zu sichern. Wenn Sie bereits diese Schritte befolgt haben, um Ihr Konto zu sichern, brauchen Sie das nicht erneut zu tun.

UPDATE # 3 – 9. Mai, um 2:45 Uhr EDT:

Wir haben diese Beitrag aktualisiert, um auch die Fragen in Bezug auf die Bitly iPhone-App zu beachten.

UPDATE # 2 – 9. Mai um 10:30 Uhr EDT:

Wir haben diese Beitrag aktualisiert, um zu erläutern, was konkret gefährdet wurde und alle unsere Nutzer zu ermutigen, ihre Bitly Konten sicherer zu machen, indem Sie die unten aufgeführten Empfehlungen ausführen.

UPDATE # 1 – 8. Mai, um 8:32 Uhr EDT:

Wir haben den Abschnitt über die Nutzer von Twitter-oder Facebook- Anbindungen an bit.ly-Konten aktualisiert.

Wir haben Grund zu der Annahme, dass einige Bitly Konto-Anmeldedaten kompromittiert wurden; hier im Besonderen die Nutzer E-Mail-Adressen, verschlüsselte Passwörter, der API-Schlüssel und die OAuth-Token. Für den Moment haben wir keinen Hinweis darauf, dass auf alle Konten ohne deren ausdrückliche Genehmigung zugegriffen werden könnte. Wir haben aber sofort Schritte eingeleitet, um die Sicherheit aller Konten zu gewährleisten – einschließlich dem Trennen aller bit.ly-Benutzerkonten von ihren Facebook- und Twitter-Accounts. Alle hiervon betroffenen Benutzer können diese Konten bei ihrem nächsten Login wieder sicher verbinden.

Wir empfehlen allen Bitly Benutzern die folgenden Änderungen durchzuführen, um Ihr Konto wieder sicher zu machen:

Ändern Sie bitte zeitnah Ihre API-Schlüssel und OAuth-Token.  Setzen Sie hierzu Ihr Passwort ein, und trennen Sie zunächst Ihre Facebook-und Twitter-Konten. Wir haben zunächst mal alle Anmeldeinformationen, die zwischen  Bit.ly und Facebook und/oder Twitter-Konten bestanden haben für ungültig erklärt. Obwohl unsere Nutzer ihre Facebook- und Twitter- Konten noch als „Bitly-Konto“ verbunden sehen, ist es nicht möglich, auf diesen Konten zu veröffentlichen – bis der Benutzer sich erneut über sein Facebook- und Twitter- Profile mit bit.ly verbunden hat.

Im Folgenden geben wir Ihnen eine Schritt-für-Schritt-Anleitungen, um Ihren API-Schlüssel und den s. g. OAuth-Token zurückzusetzen:

  1. Melden Sie sich bei Bit.ly auf Ihrem Konto an und klicken Sie (Anmerk.v. Übersetzer: rechts von ihrem Anmeldenamen) auf „Settings“ und wechseln Sie dort auf der Registerkarte „Advanced(Anmerk.v. Übersetzer: vorletzter Reiter).
  2. Am unteren Ende der Registerkarte „Advanced“ finden Sie die Option „Reset“ neben/unterhalb dem Eintrag „Legacy-API-Key“ – Anmerkung v. Übersetzer: Klicken Sie hier auf „Reset„.
  3. Kopieren Sie anschließend Ihren neue API-Schlüssel und ändern Sie diesen in allen Ihren verwendeten Anwendungen. Dies können zum Beispiel „Social Publisher“ sein, aber auch „Teilen-Buttons“ und/oder „mobile Apps“ umfassen.
  4. Gehen Sie anschließend auf die Registerkarte „Profile“ und setzen Sie dort Ihr Passwort zurück.
  5. Trennen Sie nun nur noch einmal alle Ihre Anwendungen, mit denen Sie den Bit.ly-Dienst verwenden.
    Sie können in den „Settings“ unter der Registerkarte „Connected Accounts“ überprüfen, welche Konten und Dienste Sie verknüpft haben.

Wir haben bereits alle nur erdenklichen pro-aktive Maßnahmen in die Wege geleitet, die zu diesem Kompromiss geführt haben und sichern hiermit nicht zuletzt auch ihre und die Sicherheit aller Benutzerdaten, in dem wir diesen Schritt nach nach vorne gemacht haben.

Wenn Sie mit Ihrer iPhone-App von Bit.ly keine Probleme bemerkt haben sollten, aktualisieren Sie bitte die App auf ihre neueste Version, die Sie hier finden können. Wir haben für ein beschleunigtes Update gesorgt, um alle Probleme schnellstens zu lösen.

Wenn Sie Account-spezifische Fragen haben, können Sie uns unter der Adresse support@bitly.com erreichen (Achtung: hier sollte dann in englischer Sprache geschrieben werden).

Wir nehmen Ihre Sicherheit und Ihr Vertrauen in uns sehr ernst.
Unser Team hat hart gearbeitet, um sicherzustellen, dass alle bit.ly-Konten auch weiterhin sicher sind.
Wir entschuldigen uns aber für die Unannehmlichkeiten und werden auch weiterhin über unseren Twitter-Feed @Bitly über weitere Updates informieren.

Danke

Mark Josephson
CEO Bitly

Eigene Anmerkung:

Alles in allem muss man einfach mal sagen, dass die Jungs aus New York City nicht nur einen verdammt guten Job gemacht haben, sondern auch in geradezu beispielhafter Manier auffallend offen und konstruktiv mit diesem Angriff umgegangen sind. Auch wenn es zunächst sehr ärgerlich erscheinen mag, dass man sich hier ein wenig Zeit für nehmen sollte, so muss den Code-Cracks einfach zugestanden werden, dass sie in diesem Fall nun wirklich nichts dafür konnten und soweit ich die Lücke bisher nachvollziehen konnte so manch anderem, ebenfalls betroffenen Dienst noch echt was vormachen können, wie man mit Kunden umgeht.

Alles in allem sollte evtl. erwähnt sein, dass es natürlich nicht diejenigen trifft, die den Dienst einfach unangemeldet benutzen, sondern nur jene, die ein eigenen Benutzername und Passwort angelegt haben. Doch selbst hier gilt: erhöhte Obacht! Selbst wenn Sie meinen, dass sie dort kein Konto hätten, kann dem so sein. Manch ein guter und professioneller Webseiten-Betreuer kann Ihnen den auch eingerichtet haben und obwohl die ihn kaum bemerken, erledigt er seinen Dienst. Sollten Sie also eine derartige E-Mail von bit.ly erhalten haben, dann setzen Sie sich unbedingt mit Ihrem Webdesigner, ihrer Werbeagentur, oder ihrem technischen Administrator in Verbindung und gehen Sie sicher, dass Sie nicht doch einen „verdeckten“ Nutzen des Dienstes haben. Sonst könnte es Ihnen zum Beispiel passieren, dass ihre automatischen Meldungen auf Facebook, Twitter und Co. plötzlich nicht mehr funktionieren und das wäre dann schon sehr ärgerlich – mit Sicherheit!

Advertisements

Schlagwörter: , , , , , , , , , , , , , , , , ,

About freuter

just a simple soul in a big wide world

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: