2 Mio. Ubuntu-Nutzer betroffen: Hacker brechen bei Canonical ein

Hackern ist es gelungen, Daten von Millionen Ubuntu-Nutzern zu erbeuten. Wie Canonical, Herausgeber der Linux-Distribution mitteilt, waren die sensiblen Informationen über einen Fehler im System des Nutzer-Forums abgegriffen worden. mehr...

Ubuntu Linux, Dell XPS 13, Ubuntu Notebook, Ubuntu Laptop Dell

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o4] am ++3 --16

Ich wolle erst schon fragen, wer sich bei einem Hersteller kostenloser Software registriert und wofür? Aber klar, die haben ein Nutzerforum (Sorry, ich nutze Debian und kenne mich bei Ubuntu auf der Homepage daher nicht so aus. Wobei...auf der Debian-Homepage eigentlich auch nicht. Ich lade nur manchmal eine neue Debian-Version dort herunter und überweise über eine Firma im Ausland gelegentlich eine Spende dorthin. Mit der Webseite habe ich sonst nichts zu schaffen. Ich weiß nicht einmal, ob die ein Forum haben. Werden sie aber wohl.).

Aber wer gibt denn in einem freien Nutzerforum heute noch seinen korrekten Namen oder seine persönliche E-Mail-Adresse an, wo doch bekannt ist, dass alle Datenbanken irgendwann in den Händen von Black Hats landen? Wenn man das nicht tut, interessiert es einen als Foren-Nutzer doch wohl nicht groß, ob jemand die Datenbank klaut.

[re:2] am ++1 --1

@resilience: So und wo war die jetzt die relevante Aussage in deinem Post? "Mimimi ich mache alles anders, deswegen habe ich keine Ahnung, wollte mich aber selber reden hören, mimimimi."

[o5] am ++6 --

Und hier haben wir ein tolles Beispiel, warum "alles so lassen wie es ist" immer eine schlechte Idee ist, egal ob bei Routerpasswörtern oder eben Forensoftware.

Einfach die Benutzertabelle umbenannt und hey presto, solche Versuche laufen ins Leere; sogar dann, wenn SQL injection "eigentlich" Erfolg gehabt hätte.

[re:1] am ++1 --

@RalphS: Das zu umgehen dauert dann ca. 30 Sekunden.
http://dev.mysql.com/doc/refman/5.7/en/show-tables.html

[re:1] am ++--

@Bautz: MySQL nimmt man ja auch nicht *duck*

Abgesehen davon ist SQL Injection nix in der Richtung von "zeig alles an was ich Dir sag". Da läuft sehr viel blind ab und zB SELECT * from phpbb_users läuft deswegen so gut, weil es pauschal erstmal auf so gut wie allen phpBB-Installationen Ergebnisse liefert; da muß man nicht extra Ausgaben kriegen, um das zu wissen. Welche Forensoftware läuft, das verrät bereitwillig schon der Footer der Foren(web)seiten (und wenn nicht, der Quelltext, und wenn der auch nicht, die Dateinamenskonventionen; sowas könnt man alles umbiegen, tut aber auch so gut wie niemand).

Natürlich kann man das alles umgehen, aber es macht den Angriff schwieriger; die Kunst ist denn auch nicht, jeden Angriff erfolgreich abzuwehren, sondern eher, sich als Angriffsziel möglichst uninteressant zu gestalten.

Dazu kommt aber blöderweise, daß inzwischen lizensierte Software nicht mal mehr angeschaut wird, die muß nur funktionieren; würde man das tun, hätte man entweder die eine oder andere ungeprüfte Eingabe gefunden im Quellcode oder, falls nicht, wäre da jetzt nicht das flaue Gefühl im Magen.

Soo schwer ist das jetzt nicht, etwas gegen SQL Injection zu unternehmen. Aber, husch husch aus dem Ärmel geschüttelt kriegt man leider auch so Späßchen wie "INSERT $_REQUEST['p'] INTO userdb'; da darf man sich dann nicht wundern, wenn die eigenen Daten gestern schon abgefischt wurden.

Übrigens, bezugnehmend auf Deinen Hinweis: SHOW benötigt entsprechende Permissions. Wer sich hinstellt und XAMPP nimmt, hat an dieser Stelle Pech. Und wer sich hinstellt und den dbadmin als Benutzernamen für seine Webanwendung(en) nimmt - oder gar seinem Webbenutzer explizite GRANTs einräumt! -- hat buchstäblich selber Schuld.

Da wären wir dann auch wieder beim Ausgangsthema: Einfach durchgeklickt und alles so übernommen und dann waren natürlich sämtliche Schutzmechanismen erfolgreich umgangen, schon bei der Einrichtung. (Oder XAMPP genommen. Wäre ja nicht das erste Mal.)

Bearbeitet am 19.07.16 um 08:40 Uhr.

[re:1] am ++--

@RalphS: Ist doch auf einem Level mit nicht gepatcher Version. Das ist das große Problem der Mainstream-Software: Lücken werden sofort publik und ausgenutzt.

[o6] am ++--1

das müssten dann quasi alle user sein oder ? ^^

[o9] am ++1 --1

"2 Mio. Ubuntu-Nutzer betroffen: Hacker brechen bei Canonical ein"
Was hat denn bitte das Forum mit dem Nutzen von Ubuntu zu tun?!

[10] am ++--

Unternehmen sollten endlich für den Verlust von Daten haften. Nur so kann man die Unternehmen dazu zwingen so wenig Daten wie möglich zu speichern und diese so sicher wie möglich zu verwahren. Das Geld sollte als Strafe erhoben und an die Opfer ausgezahlt werden.