Leicht OT:
Was mich an diesen ganzen Hack-Geschichten am meisten wurmt, ist die Tatsache, dass immer mehr, auch hochsensible Daten, irgendwo gespeichert sind. Damit meine ich nicht FB & Co. Als Beispiel seien hier mal Unis genannt. Wo man früher noch in Prüfungsamt latschen musste und per Hand einen Zettel ausfüllen musste, um daten zu ändern oder sich für Prüfungen anzumelden, loggt man sich heute per www in ein Portal ein, auf dem so ziemlich alle relevante Daten des Nutzers gespeichert sind. Da stehen Adresse, Geburtstdatum, Noten, eventuelle Praktika und/oder Arbeitgeber und noch so manch anderes (persönliches) Zeug. Und das von tausenden Studenten (ob hier ehemalige oder exmatrikulierte vorkommen, entzieht sich meiner Kenntnis). Was ist wenn so ein Portal gehackt wird? Dann ist das Passwort wohl eine der weniger wichtigen Dinge, das kann ruhig verschlüsselt sein.
Wie fahrlässig mit Daten umgegangen wird, zeigt einer meiner ehemaligen Arbeitgeber, dessen Namen ich aus verständlichen Gründen nicht nennen werde. Selbst zwei Jahre, nachdem ich dort nicht mehr arbeitete, konnte ich mich über VPN noch mit Administratorrechten anmelden. Nicht, dass ich damit direkt auf die Datenbank zugreifen konnte... nein, ich hätte sogar ohne Probleme Logs ändern oder löschen können, da ich ja die entsprechende Rechte hatte, auf dem Server rumzupfuschen. Das geht dann soweit, dass ich auch User hätte anlegen können, Passwörter von anderen Usern zurücksetzen oder ganz dreist Nachrichten hätte lesen können. Frage: Ist es ein verantwortungsvoller Umgang mit Daten, wenn man ehemalige Mitarbeiter immer noch an die Daten lässt? Eindeutig nein.
Ich hab schon Fehlermeldungen auf Webseiten gesehen, da stand das Datenbankpasswort im *Klartext* in der Fehlermeldung. Ich hab keine Ahnung welcher hirnverbrannte Vollidiot eine Fehlermeldung codet, die unter anderem das Passwort zurückgibt.
Das Beispiel mit einem Portal, dass den Admin-Usernamen nur auf Groß-/Kleinschreibung testet, nannte ich schon mal. Man suchte per Google nach entsprechendem Login-Skript, meldete neuen User an, benannten ihn danach in "aDmiNiStraTor" um, reload, zack Adminrechte. Solche Fehler kommen vor, aber wenn man monatelang nicht auf einen entsprechenden Bugreport reagiert... tolle Wurst. Selbst so ein kleiner Fehler kann zudem noch viel Schlimmeres nach sich ziehen. Man muss durch diese Rechte nur Zugang zu ner Config bekommen, in dem das Passwort für die Datenbank steht und kann dann lustig private Nachrichten von anderen Nutzern lesen, da diese sowieso unverschlüsselt gespeichert werden.
Daten werden im Internet nie sicher sein, da es einfach keine fehlerfreie Software gibt. Vielleicht sollte man manchmal ein wenig umdenken und sensible Daten schlicht und ergreifend nicht von außen zugänglich machen.