Die auch von Microsoft genutzte Feedback-Plattform UserVoice gehackt
Der Dienstleister UserVoice hat zugegeben, dass man im vergangenen Monat zum Opfer einer Hackerattacke geworden ist. Zwar heißt es, dass nur ein "winziger" Teil der Konten betroffen sei, allerdings waren die dazugehörigen Passwörter nur mit dem aus heutiger Sicht eher schwachen SHA1-Algorithmus gehasht. Das bedeutet, dass nicht ausgeschlossen ist, dass die Passwörter entschlüsselt werden könnten.
UserVoice wird auch vielen anwesenden Microsoft-Nutzern bzw. Windows Insidern ein Begriff sein. Das ist der Dienstleister, der die Feedback-Plattform für die Redmonder zur Verfügung stellt, darüber laufen die Verbesserungsvorschläge Outlook.com, Xbox, OneDrive und Bing (bei der Windows 10-Preview wurde das im Herbst 2015 eingestellt). Allerdings ist Microsoft nicht der einzige Kunde, der auf die Plattform des 2008 gegründeten Unternehmens zurückgreift, laut eigenen Angaben haben bereits 200.000 Organisationen auf UserVoice gesetzt.
Nun hat UserVoice per
Blogbeitrag bekannt gegeben, dass man Ende April zum Opfer einer Hackerattacke geworden sei (via
Rafael Rivera). Die entwendeten Daten inkludieren Name, E-Mail, gehashtes Passwort und Salt. Das Unternehmen schreibt allerdings, dass "unglücklicherweise" der mittlerweile als schwach geltende SHA1-Algorithmus dafür verwendet worden ist.
Sicherheitsvorkehrungen
Alle betroffenen Anwender seien per E-Mail informiert worden, allerdings soll es sich hierbei nur um weniger als 0.001% aller UserVoice-Nutzer gehandelt haben. Dennoch heißt es, dass man zahlreiche weitere Schritte durchführt har, um sich besser abzusichern. So werden u. a. alle Passörter in der internen Datenbank zurückgesetzt.
Wenn Nutzer ihre Passwörter neu erstellen, dann werden diese per bcrypt gehasht, zudem werden die Anforderungen an Passwörter erhöht. Bei einer kleinen Anzahl an kompromittierten Konten wurden zudem die SSO-Tokens zurückgesetzt, die Betroffenen wurden direkt darüber informiert, auch im Backend wurde zusätzliche Sicherheitsvorkehrungen getroffen.
Quelle