Passwort bei GC.com in sicheren Händen?

Während bei GC.com der Designpinsel geschwungen wurde, sind an anderer Stelle offensichtlich herbe Sicherheitslücken vorhanden.
Wer sein Passwort von seinem Account noch an anderer Stelle (ebay, Mailprovider oder vielleicht sogar Onlinebanking) verwendet, sollte sich überlegen, ob er dem Spaghetticode soviel zutraut, dass kein Aussenstehender an die Datenbank kommt.
Das Passwort steht normalerweise verschlüsselt in der Datenbank. Bei Passwortverlust wird ein automatisch generiertes Passwort zugeschickt, da das alte Passwort nicht im Klartext verschickt werden kann und der Benutzer mit dem verschlüsselten Passwort vor einem Myst mit D10 steht (der mehr als die Lebenszeit mehrerer Generationen in Anspruch nehmen würde). Wer sein Passwort bei GC.com vergessen hat, bekommt es per mail wieder zugeschickt – sprich, es ist entweder im Klartext in der Datenbank vorhanden oder vielleicht noch codiert, aber vom Server decodierbar. Letzteres hat mit Sicherheit genauso wenig zu tun wie Ersteres.
Siehe auch Geoclub-Forum und Artikel von Moenk.
Wer also sein Passwort von GC.com noch anderweitig verwendet, sollte eventuell ernsthaft über eine Änderung nachdenken. ;-)

Autor:
Datum: Donnerstag, 14. Januar 2010 15:18
Trackback: Trackback-URL Themengebiet: Allgemein

Feed zum Beitrag: RSS 2.0 Kommentare und Pings geschlossen.

5 Kommentare

  1. 5

    cezanne, das ist ja interessant.
    kannst du da näheres zu sagen, wie das in zusammenhang mit dem ausspähen der koordinaten ausgenutzt wurde?

  2. 4

    Groundspeak wurde schon mehrfach auf dieses Problem hingewiesen. Es erstaunt mich, dass in Deutschland die Art der Passwortspeicherung von Groundspeak in der Szene offenbar nicht bekannt war. Im Grunde ist das ein alter Hut und wurde u.a. auch schon in Zusammenhang mit anderen, noch sehr viel erschreckenderen Sicherheitsluecken (z.T. mittlerweile behoben) ausgenutzt, um z.B. Koordinaten von Mysteries auszuspaehen.

  3. 3

    Warum wundert das nicht? Groundspeak hat so wenig Sachverständnis von Webprogrammierung, Design und Usability, daß es schon eine Schande ist, mit einem solchen Kenntnisstand die Plattform für eine riesige Internet-Community bereitzustellen.

  4. 2

    Okay, das ist seltsam und dürfte eigentlich nicht sein…
    Im Normalfall sollten Passwörter doch – wie gesagt – verschlüsselt, am besten als md5-Hash, in der Datenbank liegen und nicht als Klartext.
    Also entweder hat hier gc.com eine ganz geschickte Verschlüsselungsmethode mit einem streng geheimen Schlüssel verwendet – oder die Daten sind wirklich nicht verschlüsselt.
    Gibt es denn von offizieller Seite keine Stellungnahme dazu?

  5. 1

    Was ein Glück nur, das ich paranoid genug bin und für jeden Mist ein eigenes Passwort habe, das ich obendrein alle 4 Wochen ändere (ist jedesmaleine Heidenarbeit). Aber gut, solche Dinge zeigen ja, das ich damit ganz richtig liege…