Weebly: Nutzerdaten entwendet, Passwortänderung empfohlen
Weebly ist ein Anbieter, der es Nutzern ermöglich Webseiten zu erstellen. Auch Online-Shops sind über diesen Dienst möglich. Weebly hat nun bekanntgegeben, dass sich Dritte Zugang zu Kundendaten beschafft haben. Zu diesen Daten gehören E-Mail-Adresse, Nutzernamen, IP-Adressen und Verschlüsselte (bcrypt hashed) Passwörter. Für betroffene Accounts, die vor Juni 2011 erstellt wurden, ist die Passwortverschlüsselung (MD5 hashed) unsicherer, diese Passwörter wurden von Weebly aber bereits zurückgesetzt. Nach aktuellem Kenntnisstand von Weebly wurde kein Schaden angerichtet. Daten von Ecommerce-Kunden der Nutzer wurden bei diesem Angriff nicht entwendet.
Nutzer von Weebly sollten Ihr Passwort ändern. Sollten sie dieses Passwort auch für andere Dienste nutzen, ist auch bei diesen eine Änderung zu empfehlen. Weebly arbeitet unterdessen daran, die Sicherheit weiter zu erhöhen. Kunden, deren Daten entwendet wurden, es betrifft viele, aber nicht alle, erhalten außerdem eine Mail von Weebly. Da keine Zahlungsinformationen entwendet wurden, scheint der Ganze Vorfall glücklicherweise für die Nutzer glimpflich abzulaufen. Details zu den weiteren Maßnahmen, Nutzer können nun zum Beispiel eine Login-Historie einsehen, gibt es in den FAQ von Weebly.
Das ist ja mal selten offen: Weebly erklärt sogar, welchen Hashing-Algorithmus sie verwenden, und verwendet haben. Warum nur wurden die Passwörter nicht automatisch auf einen neuen Hashing-Algorithmus umgestellt?
Wie kann nur ein Teil der Daten abgegriffen worden sein?
Warum wurden die Passwörter nicht mit einem Salt versehen?
Dieser Fall zeigt wieder, dass man tunlichst vermeiden sollte, Passwörter mehr als einmal zu verwenden.