Weitere Übersetzung zur bit.ly – Attacke


Wie im letzten Beitrag schon berichtet kämpft (der URL-Verkürzungsdienst aus New York City, USA) bit.ly  derzeit einen bemerkenswert offensiven Kampf gegen Angriffe auf seine Datenbank-Sicherungen. Mittlerweile gibt der Hersteller weitere Informationen und weil wir eh schon mal mit dem übersetzen angefangen haben, hier auch die deutsche (freie) Übersetzung zu den neueren Erkenntnissen der Attacke …

Bit.ly wehrt sich - Grafik des Logos

Bit.ly-Benutzer sind aufgerufen ihren Teil zur Sicherheit beizutragen. HEUTE NOCH!

bit.ly Logo

Dienst-Logo

Mehr Details

  • (freie) Übersetzung zum Beitrag
    more Details
    aus dem bit.ly Blog vom 9.Mai 2014 um 19:30 Uhr (US-Zeit)

Während wir immer noch an den Möglichkeiten einer Lösung arbeiten -wie gestern berichtet– möchten wir euch etwas mehr Einblick in die Frage geben, was da eigentlich passiert ist und was wir getan haben, um Sicherheit auch für die Zukunft zu gewährleisten.

Am frühen Donnerstag Morgen erfuhr unser Bit.ly- Sicherheitsteam vom Sicherheitsteam eines anderen Technologie-Unternehmens von einer potenziellen Bedrohung unserer Bit.ly-Anmeldeinformationen.  In der Annahme, dass wir tatsächlich eine Sicherheitsverletzung vorliegen haben, begannen wir sofort mit der Suche nach allen möglichen Sicherheits-Lecks.

Im Verlaufe der nächsten Stunden musste unser Sicherheitsteam mit einer hohen Wahrscheinlichkeit davon ausgehen, dass es keine externen Verbindungen zu unserer Produktionsbenutzerdatenbank gab und auch keine unberechtigten Zugriffe auf unser Produktions- Netzwerk oder -Server festzustellen waren. Wir bemerkten aber, dass es eine ungewöhnlich hohe Menge an Datenverkehr aus unserer Datenbank „Offsite-Backup-Speicher“ geben muss, die einen „nicht durch Bit.ly initiierte“ Ursache haben musste. Ab diesem Zeitpunkt wurde dann auch klar, dass unser bester Weg, „der Weg nach vorne“ war und wir annehmen mussten, dass unsere Benutzerdatenbank kompromittiert wurde. Wir mussten sofort handeln und entsprechende Schritte einleiten, die im Bereich der angeschlossene Facebook- und Twitter- Konten unsere Nutzer schützen sollten.

Also prüften wir die Aufzeichnungen unserer Sicherungen des eingelagerten Quellcode-Repositories, die für die Anmeldeinformationen und den Zugriff auf die Datenbank zuständig sind und entdeckten im so genannten „Offsite Backup-Speicher“ einen unerlaubten Zugriff auf eines unserer Mitarbeiter-Konten.

Wir dann haben sofort eine Zwei-Faktor-Authentifizierung für alle Bit.ly-Konten auf dem Quellcode-Repository aktiviert und begannen mit der vollständigen Sicherung unserer Systeme gegen jede weitere Schwachstelle.

Wir haben noch eine ganze Reihe von weiteren Sicherheitsebenen zu erledigen, die wir unserem Projekt hinzufügen werden, können hier aber schon mal einige der Dinge, die wir seit der Verletzung auf den Weg gebracht haben, bekannt geben und werden auch weiterhin daran arbeiten:

  • Alle Twitter und Facebook Logins für ungültig erklärt
  • Austauschen aller Anmeldeinformationen für unsere Offsite-Speichersysteme
  • Aktivieren einer ausführlichen Protokollierung auf unsere Offsite-Speichersysteme
  • Austausch aller SSL-Zertifikate
  • Anmeldeinformationen die für unsere Code-Bereitstellung verwendet werden zurückgesetzt
  • Umstellung auf GPG-Verschlüsselung aller sensiblen Anmeldeinformationen
  • Ab sofort eine erzwungene Zwei-Wege-Authentifizierung auf allen Drittanbieter-Diensten unternehmensweit
  • Volle Unterstützung zu einer beschleunigte Entwicklung unserer Arbeiten an der Zwei-Wege-Authentifizierung für bitly.com
  • Beschleunigte Entwicklung der E-Mail-Bestätigungen unserer Passwortänderungen
  • zudem zusätzliche Prüfungsdetails der Benutzersicherheitsseiten hinzugefügt
  • eine ausführliche Protokollierung auf unsere Offsite-Speichersysteme aktiviert
    und
  • sofortige Aktualisierung der iPhone-App, um den neueren OAuth-Token zu unterstützten

Darüber hinaus haben wir die Antworten auf einige häufig gestellte Fragen weiter unten bekannt gemacht und wir werden euch auch weiterhin hier (Anmerkung des Übersetzers: über den Bit.ly-Blog) auf dem Laufenden halten.

Rob Platzer
CTO, Bitly


FAQ

Wurden Passwörter bekannt?

Hash-Passwörter wurden bekannt, aber und keine Klartext-Passwörter. Alle Passwörter werden  salted hash verschlüsselt. Wenn Sie Ihr Passwort nach dem 8. Januar 2014 registriert, sich eingeloggt oder dieses verändert haben, wurde dies mit BCrypt und HMAC mit einer einzigartigen salted hash umgewandelt. Davor wurden Passwörter mit MD5 gesalzen.

Sind alle meine Bitlinks betroffen oder verändert?

Nein, die Produktionsdatenbank war nie gefährdet, noch gab es einen unbefugte Zugriff zu unserem Produktionsnetzwerk oder der Umgebung. Die Daten stammen von einer externen statischen Sicherung. Es gab kein Risiko, dass die eigentlichen Daten verändert werden könnten, einschließlich der Weiterleitungen.

 

Und noch einige Anmerkungen:

Was sagt uns Bit.ly mit dieser Stellungnahme?
Nun, die gute Nachricht ist zunächst die, dass man im Hause Bit.ly davon ausgeht, dass der Dienst an sich nicht korrumpiert wurde. Will also meinen, wer bisher einen solchen Bit.ly-Link erstellt und in Umlauf gebracht hat, muss jetzt nicht befürchten, dass diese plötzlich auf andere Seiten verweisen oder anderweitig korrumpiert sein könnte – hier ist alles im grünen Bereich.

In einigen Foren-Beiträge soll beobachtet worden sein, dass solche alten Links plötzlich über eine vorgeschaltet Adresse gingen und die Befürchtung wurde laut, dass somit Fremd-Code eingeschleicht werden könnte – dem ist laut dieser Stellungnahme de facto nicht so.

Was ist das mit dem Hash- und Klartext- Passwörtern?
Wenn wir mal das ganz schlichte Passwortbeispiel „eva“ nehmen. So ich mich mit meinen Benutzername „abc“ anmelden möchte, braucht es dazu das passende Passwort, damit mich dem System gegenüber als der wahre, echte Benutzer „abc“ ausweisen kann. Damit man Benutzername und Passwort vergleichen kann, muss der Anbieter beides speichern und irgendwie so hinterlegen, dass er es auch wieder erkennen kann – und genau hier liegt ein Risiko. Denn von tausenderlei Attacken und Angrifen abgesehen, könnte ja auch jeder berechtigte Techniker einfach in die Datenbank schauen, welches Passwort für unseren „abc“-Benutzer dort hinterlegt ist.

Gelöst wird das mit einer Verschlüsselung, die man früher als „MD5-Hash“ bezeichnete – also einer Art von verschlüsselter Ersatzkennung umgerechnet wurde, die man nur anhand des richtigen Kennwortes und einiger weiterer Daten ausrechnen konnte. So wird dann aus unserem schlichten Passwort „ eva “ zum Beispiel der gespeicherte Hash „ 14bd76e02198410c078ab65227ea0794 “ und kein Techniker kann jetzt das Klartext-Passwort „eva“ erkennen.

Der Stellungnahme nach, scheinen also nicht die eigentlichen Kennwörter „geklaut“ worden zu sein, sondern nur diese Hash-Ersetzungen. Alleiniger Haken: mit ein wenig Geschick könnte man diese missbrauchen und sich nur mit diesem Hash bei bit.ly anmelden. Allerdings zählt man gleich mehrere Maßnahmen auf, mit denen so ein Missbrauch vermieden werden kann. Also auch hier: alles in grünem Bereich.

Was soll ich als Bit.ly-Benutzer jetzt machen?
Auch wenn es in einigen Foren und Blog-Beiträgen oftmals anders empfohlen wird: ich (und auch Bit.ly) rate unbedingt dazu, dass jeder Bit.ly-Benutzer den Anweisungen folgt und sich nicht nur sein Passwort erneuert, sondern auch den Anweisungen aus der ersten Bit.ly -Stellungnahme folgt. Ich habe Ihnen dieseersetzt, so dass es jedem gelingen sollte die richtigen Schritte in die Wege zu leiten – und zwar am besten Heute noch.

Worauf muss ich achten?
Wenn Sie ihr Passwort gegen ein Neues ausgetauscht haben und den Anweisungen von hier nachgekommen sind, verbleibt eigentlich nur noch die Frage, ob Sie evtl. auch die API von diesem Dienst benutzen und/oder als Dienst über ihren Blog, die Homepage oder andere Webdienste benutzen. Ich habe selbst für einige Klienten den API-Key beantragt und so in Ihrer Webseite eingebaut, dass dort neu eingetragene Artikel automatisch mit Bit.ly vereinfacht werden und dann in den Socialmedias a la Facebook, Google+ und Twitter als „neu“ angekündigt werden. Ist das auch auf Ihrer Webseite (oder Blog) der Fall, dann sollten Sie sich an ihren Webdesigner oder die betreuende Agentur wenden und darauf bestehen, dass man auch dort möglichst zeitnah die veränderten Zugangsdaten korrigieren sollte und den neuen API-Key (auf der bit.ly-Seite unter „Settings“ im Reiter „Advanced“) in die Einstellungen ihrer Homepage übernimmt.

Wie groß ist diese Bedrohung wirklich?
Nun, auch hier ist es leider nicht mit einem schlichten „klein“ oder „groß“ getan! Je nach ihrer ganz speziellen Situation kann es in beide Richtungen und sogar in beide Extreme gehen. Um diese Frage für Ihren Fall überblicken zu können, sollten Sie sich an einen vertrauten Fachmann wenden. Dieser muss dann nicht wissen …

  • ob
  • wo
    …  und …
  • wie

… Sie Ihren Bit.ly Account benutzt und eingesetzt haben, sondern auch abschätzen können unter welchem Schwierigkeitsgrad ihr altes Passwort zu bewerten ist und vor allem ob Sie es auch andern Ortes als gleichlautendes Passwort verwendet haben. Sie sollten dann keinen Falles Ihr Passwort bekannt geben (eben auch nicht ihrem Admin) und es muss einfach angeraten werden, dass ein hier verwendetes Passwort überall dort ausgetauscht werden muss, wo es ebenfalls verwendet wurde – zwingend, zeitnah und unbedingt gegen ein anders lautendes, einmalig verwendetes!

Sollten Sie hierzu noch Fragen haben, können Sie sich gerne an mich wenden, wobei Freunde und Mandanten gebeten sind, sich an die bekannten Telefonnummern zu wenden – nötigen Falles auch die Mobilfunk-Notrufnummer, die Sie erhalten haben:

Advertisements

Schlagwörter: , , , , , , , , , , , , , , , , , ,

About freuter

just a simple soul in a big wide world

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: