Datendiebstahl bei Statistikdienst Statista
Eine neue Woche, ein neuer Hack, dieses Mal in Deutschland, bei der Statista GmbH. Die Statista GmbH betreibt nach eigenen Angaben das weltweit führende Statistikportal statista.com. Sie hat ihren Sitz in Hamburg und New York und beschäftigt derzeit über 100 Mitarbeiter, darunter Datenbank-Experten, Redakteure und Statistiker.
Statista wurde 2008 zum Start-up des Jahres gewählt, erhielt 2008 den Gründerpreis der Financial Times Deutschland, wurde 2010 zum Ort der Innovation auserkoren und schließlich als Europäischer Gewinner des Red Herring Preises 2010 ausgezeichnet. Nun die schlechte Nachricht für angemeldete Benutzer, die per Mail kommuniziert wurde.
Trotz umfassender Sicherheitsvorkehrungen muss Statista davon ausgehen, dass Unbekannte sich zeitweise rechtswidrig Zugriff auf die Nutzerdatenbank verschafft haben. Die Sicherheitslücke hat man inzwischen geschlossen. Allerdings kann man nicht ausschließen, dass dabei auch Nutzerdaten in Form von Mail-Adresse und verschlüsseltem Passwort (bis Ende 2013 nutzte man MD5, danach salted) ausgelesen wurden. Eine Entschlüsselung ist aber technisch nicht auszuschließen, wie man weiterhin mitteilt. Nutzer, die bei mehreren Diensten das identische Passwort wie bei Statista nutzen, sollten dieses bei anderen Diensten ebenfalls ändern.
(danke Benjamin für die Info!)
Da fragt man sich schon, wie sicher die eigenen Daten sind, wenn sie erstmal auf einem im Internet aus erreichbaren Server gespeichert sind. Liebe Güte…
Das ein Unternehmen wie Statista bis Ende 2013 MD5 Passwörter nutzte ist wirklich peinlich. Das nennen die also „umfassende Sicherheitsvorkehrungen“.
Deshalb verstehe ich nicht wirklich, weshalb alle so auf die Cloud-Dienste abfahren.
Da sind die Daten auch nicht sicherer als auf der heimischen Festplatte
Was soll das heißen? Früher benutzte man MD5 direkt aufs Passwort, jetzt MD5 mit Salt? Wo ist da die nennenswerte Verbesserung?
Warum gibt es eigentlich keinen vernünftigen TÜV für Sicherheit (nein, dass was der TÜV und andere derzeit machen zählt nicht)? Also wenigstens sicherstellen, dass eine Seite alle Best-Practices umsetzt wie Passwörter salten und eine kryptografische, rechenintensive Hash-Funktion nutzen. Zwei-Faktor-Auth anbieten, E-Mail-Adressen und andere Nutzerdaten verschlüsseln oder gar nicht erst speichern, standardmäßig ordentliches https usw…
@Anon Nein, wir benutzen jetzt eine 512-Bit-Verschleierung plus Salt. Diese gilt derzeit als nicht knackbar.
Ja, meine email incl. Passwort waren auch betroffen was die Hackern aus Russland gleich mal dazu brachte meinen emailaccount zu hacken. Google hats aber gleich verhindert…
Nun muss ich 30 Passwörter andern. Danke 🙁
Wer benutzt auch ein Passwort für alles? Selbst schuld!