Das Forum von Chip Online wurde offenbar gehackt. In einer Rundmail informierten die Betreiber ihre Nutzer darüber, dass sich "ein unberechtigter Dritter [...] Zugriff auf die Verwaltung des CHIP Forums verschafft" hat. Die Betreiber können nicht ausschließen, dass der Eindringling auf die Mail-Adressen und Passwort-Hashes der 2,5 Millionen Nutzer zugegriffen hat". Daher sollten Nutzer, die das Passwort auch bei anderen Diensten verwenden, dort umgehend ein neues, sicheres Passwort erstellen, erläutert Chip.

Diese Empfehlung kommt nicht von ungefähr: Wie eine Sprecherin gegenüber heise Security erklärte, werden die Passwörter seit sieben Jahren als ungesalzene SHA1-Hashes gespeichert. Das ist nicht mehr zeitgemäß. Falls der Eindringling die Hashes kopiert hat, kann er mit moderner Rechen-Hardware auch komplexe Passwörter "knacken" – also das zum Hash passende Klartext-Passwort ermitteln. Moderne Hash-Verfahren wie bcrypt oder PBKDF2 kosten erheblich mehr Rechenleistung und sind damit wesentlich sicherer.

Chip hat eine Forensikfirma damit beauftragt, den genauen Angriffsweg zu rekonstruieren. Derzeit läuft das Forum in einem "sicheren Read-Only-Modus".

Siehe hierzu auch:

(rei)