Bei X-Plane.org sind offenbar Login-Daten von Benutzern an die Öffentlichkeit gelangt. Das legt ein entsprechender Sicherheitshinweis auf der Startseite des Forums (siehe Artikelbild) nahe. Weitere Informationen wie Umfang und Umstände des Leaks sind bislang nicht bekannt. Wir raten deshalb allen Lesern mit einem Account bei X-Plane.org, umgehend ihr Passwort zu ändern. Und zwar nicht nur um Forum, sondern auch im X-Plane.org Store. Ob dieser betroffen ist, ist aktuell nicht bekannt, doch Sicherheit geht hier ganz klar vor. Sobald es weitere Infos gibt, werden wir diesen Artikel entsprechend aktualisieren. FlightdeckX.com berichtete zuerst über das Passwort-Leck.
Fragen und Antworten zum Hack auf X-Plane.org
flusinews.de: Wie genau ging der Hack vonstatten?
X-Plane.org: Wir prüfen das aktuell zusammen mit Invision, dem Entwickler unserer Forensoftware.
flusinews.de: Ist der X-Plane.org-Store auch betroffen?
X-Plane.org: Nein, der Store ist eine komplett andere Plattform. Wir nutzen das Programm von 3dcart und der Store läuft auf deren Servern, nicht auf unseren. Unterschiedliche Software, unterschiedlicher Standort usw.
flusinews.de: Gegen 00:00 Uhr UTC gab es Beiträge von Admins, dass auch die Benutzerkonten im Store betroffen seien und dass wir alle „unsere Geldbörse überprüfen“ sollten. Was hat es damit auf sich?
X-Plane.org: Das habe ich auch gesehen. Diese Person war kein Admin, sondern einfach nur ein Kind („kid“), das Zugang zu einem kompromittierten Benutzerkonto im Forum hatte.
flusinews.de: Werden die Passwörter im Klartext gespeichert?
X-Plane.org: Selbstverständlich nicht. Invision hat mir mitgeteilt, dass es beinahe unmöglich sei, die Passwörter zu knacken. Das Statement von Invision: „die Passwörter werden mit einem sehr komplexen Algorithmus ‚gehasht‘, das macht es [das Knacken der Passwörter, Anm. der Redaktion] extrem schwierig“.
Allerdings ist Invision eine sehr populäre Software, das macht sie natürlich zu einem beliebten Ziel für Hacker. Es werden regelmäßig Sicherheitsupdates veröffentlicht, das letzte erst in der vorherigen Woche.
flusinews.de: Ist es möglich, dass Zahlungsdaten wie Kreditkartennummern aus dem Store bei dem Hack gestohlen werden konnten?
X-Plane.org: Nein, siehe die vorherige Antwort. Forum und Store sind zwei verschiedene Systeme, was gut ist. Das Forum nutzt Invision auf einem EA Server. Der Store nutzt 3dcart auf Servern von 3dcart. Das ist eine komplett verschiedene Architektur. Abgesehen davon speichert der Store keine Kreditkartendaten.
flusinews.de: Was wird unternommen, um solche Vorkommnisse in der Zukunft zu verhindern?
X-Plane.org: Wir werden das komplette System überprüfen. Das ist ein laufender Vorgang.
Vielen Dank an X-Plane.org für die Antworten auf unsere Fragen.
Anmerkung der flusinews.de Redaktion
Auf unsere Frage, ob das Forum nun sicher sei, wurde nicht geantwortet. X-Plane.org wollte auch nicht bestätigen, ob diese Liste mit den betroffenen Benutzernamen authentisch ist. Folglich bleiben uns in dieser Hinsicht nur die Antworten im offiziellen Thread auf X-Plane.org:
- alle Benutzer sollten ihr Passwort ändern
- nur eine Minderheit der Benutzer sei betroffen
- es wurden lediglich Benutzernamen und Passwörter veröffentlicht, keine E-Mail-Adressen
Tipps für sichere Passwörter
Noch immer hält sich hartnäckig der Mythos, dass Passwörter aus mindestens acht Zeichen bestehen sollten, inklusive „Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…)“ (Quelle: Bundesamt für Sicherheit in der Informationstechnik). Unter Sicherheitsexperten gilt dies mittlerweile als überholt.
Vielmehr sollten sogenannte Passphrasen verwendet werden, welche aus langen, zufälligen Wortkombinationen bestehen (mehr dazu bei der Süddeutschen Zeitung). Diese kann man sich nicht nur viel leichter merken, durch die hohe Anzahl an Zeichen sind sie auch schwerer zu knacken. Besonders sichere Passphrasen können mit einem Würfel und einer Wörterliste erstellt werden („Diceware“, mehr unter dem vorherigen Link). Das knackt nicht einmal die NSA.
Zudem ist es eine absolute Passwort-Todsünde, dieselben Passwörter auf verschiedenen Seiten zu nutzen. Der Grund ist einfach: Gelangen Passwörter und Benutzernamen wie im aktuellen Fall an die Öffentlichkeit, so können Betrüger mit diesen Daten Zugriff auf andere Dienste erlangen, sollten die Login-Daten identisch sein. Doch wie merkt man sich die vielen verschiedenen Passwörter? Da können Passwort-Manager helfen. Die Stiftung Warentest hat erst kürzlich verschiedene Programme getestet.
Bisher 8 Kommentare
Hmmm… das ja mal ätzend: (.
Aber wie soll man nun sein Passwort ändern, wenn man da überhaupt nicht einloggen soll im Moment? Also lieber erstmal nix machen oder was meint ihr?
Hallo Ingo,
warte am besten noch etwas ab, bis sich die Lage geklärt hat. Solltest Du dein Passwort bei X-Plane.org entgegen allen Empfehlungen auch auf anderen Seiten nutzen, dann ändere es umgehend auf den anderen Websiten.
Wir versuchen aktuell, ein paar brauchbare Informationen von X-Plane.org zu bekommen.
Okay – danke Frank für die schnelle info!
Hallo Ingo,
wir haben den Artikel mit zusätzlichen Informationen aktualisiert.
Gilt das auch für den .ORG Store
Es gab gestern Nacht entsprechende Hinweise darauf im Forum, die jetzt wieder gelöscht worden sind. Seitens des Betreibers werden leider keine brauchbaren Infos zur Verfügung gestellt, sodass ich mir gut überlegen würde, jetzt irgendetwas im Store einzukaufen.
Um ehrlich zu sein, halte ich diese Informationspolitik (oder besser: Nichtinformationspolitik) für so bedenklich, dass ich dem Org-Store sogar komplett den Rücken zukehren würde. Aber warten wir ab.
Jetzt die offizielle Antwort vom Betreiber: Der Store ist nicht betroffen.
Danke nochmal Frank, für die Aktualisierung. Diese komische Liste angeblich „einiger weniger kompromittierter accounts“ die die da veröffentlicht haben ist aber meiner Meinung nach das GESAMTE Mitgliedsregister von xplane.org. Ich bin da auch drauf : (. Naja – Passwörter geändert und nun gespannt was für interessante Bestellungen und Posts in den nächsten Tagen unter meinen Namen getätigt werden: D.