Software::Web
Einbruch bei Drupal.org
Die Projektseite des Content-Management-Systems Drupal ist gehackt worden, wodurch die Angreifer Zugriff auf fast eine Million Nutzerdaten erlangt haben.
Thomas Drilling
Einbruch bei Drupal.org
Nach dem Hack der
Drupal-Projektseite sind Zugriffe auf sämtliche Nutzerdaten für Drupal.org und Groups.Drupal.org registriert worden. Als Reaktion sahen sich die Betreiber gezwungen, sämtliche Drupal.org-Passwörter zurückzusetzen, sodass sich Nutzer jetzt ein neues Passwort zuweisen lassen müssen. Laut Angabe der Betreiber sind davon mindestens 935.000 Nutzer betroffen.
Die Betreiber versichern jedoch, dass der Einbruch nicht auf eine Sicherheitslücke in Drupal zurückzuführen ist, sondern auf eine auf den Drupal.org-Servern installierte Software von Drittanbietern, die über eine inzwischen geschlossene Sicherheitslücke eingeschleust wurde.
Laut Angaben der Betreiber erlangten die Kriminellen Zugriff auf sämtliche Nutzerdaten wie Benutzernamen, E-Mail-Adressen, Länderinformationen und die auch gehashten sowie einige ältere nicht gehashte Passwörter. Derzeit untersuchen die Drupal-Betreiber noch, ob möglicherweise auch andere Daten betroffen sind. Allerdings sind auf den Servern keine Daten von Kreditkarten gespeichert.
Die Betreiber haben anlässlich des Vorfalls eigens eine Informationsseite eingerichtet, der unter anderem zu entnehmen ist, dass als erste Reaktion auf den Servern ein speziell gehärteter Linux-Kernel (GRSEC) installiert wurde. Der Hinweis auf das Zurücksetzen der Passwörter hat bereits einen mittelschweren Ansturm auf die Drupal-Server ausgelöst. Die in der Informationsseite ursprünglich genannte Wartezeit beim Zurücksetzen der Passwörter von circa 15 Minuten wurde von den Betreibern inzwischen auf mittlerweile eine Stunde revidiert.
){kind=small}
