Angriff auf typo3.org

Alle registrierten Benutzer von typo3.org, der offiziellen Website für Entwickler des CMS Typo3, haben heute folgende unschöne Nachricht erhalten:

——————————————————-
This is an important security warning. You are receiving it because your email address is registered on the TYPO3.org website.

We have to inform you that an unauthorized person has gained administrative access to the TYPO3.org website.

The offender had access to website user details including their passwords, and there have been reports of this data being used to access other websites. It also has to be expected that the data may have been disclosed to third parties.

The attacker has been identified, and the TYPO3 Association has started to take legal action on the issue.

Important!
IF YOU HAVE USED THE SAME PASSWORD ON ANY OTHER SITE, PLEASE CHANGE IT IMMEDIATELY!

In a first step, all login accounts on TYPO3.org have been locked and will require a new password. We are currently working on an improved login procedure and will let you know when this is ready. Until then, you will not be able to log into the Community section of TYPO3.org.

We have set up an FAQ page at http://typo3.org/about/faq/t3org-issue/
The page may be updated with new questions from time to time, so make sure to check back before replying to this mail.

We apologize for the inconveniences and troubles that this might cause to you.

TYPO3 Association
——————————————————-

Sofort hat die Meldung natürlich die Runde gemacht im Internet.
Ich denke, dass es aber wichtig ist, folgende Fakten zu kennen:

•  Es ist korrekt, dass Typo3 die Passwörter für Frontend-Users standardmässig in Plaintext abspeichert. Die Verschlüsselung kann aber mit frei verfügbaren Extensions installiert werden. Ob dies auf der betroffenen Seite typo3.org der Fall war, ist zur Zeit nicht bekannt.
• Es wurde nicht das System Typo3 an sich gehackt, sondern einfach eine Website, welche auf Typo3 läuft. Gemäss Aussage des t3n Blogs konnte der Angriff aufgrund eines zu einfachen Backend-Passworts erfolgen. Dies ist kein Problem von Typo3 als System – wohl aber eines der Betreiber der Website.

Grundsätzlich ist es sehr schade und schlecht, dass dies ausgerechent auf einer offiziellen Website des Typo3-Teams geschieht. Doch bin ich überzeugt, dass sehr viele andere Systeme genauso gefährdet sind. Und dass der schwächste Punkt immer die Faulheit des Menschen bleibt: zu einfache und zu wenig verschiedene Passwörter werden verwendet. Ich denke, in diesem Punkt sind wir wohl fast alle immer wieder mal schuldig…

Nehmen wir den Anlass, um uns dem Thema Sicherheit und Passwörthandhabung wieder mal bewusst zu werden. Dies wird allen mehr helfen als irgendwelches CMS-Bashing.