Gefällt dir dieser Artikel?

Webhoster Evanzo speichert Passwörter im Klartext

erschienen in der Kategorie Alltag, am 12.02.2013
Schnatterente
Der Webhoster Evanzo speichert die Passwörter seiner Kunden offenbar im Klartext ab. Jedes Mal, wenn man bei Evanzo eine Domain registriert, bekommt man eine E-Mail zugesandt, die die Logindaten für Evanzos Webinterface enthält. Das Passwort wird unangefordert im Klartext genannt.

Aus meiner Sicht stellt dies ein Sicherheitsrisiko dar. Einerseits macht es keinen Sinn, dem Kunden bei jeder Domainfreischaltung sein Passwort zu senden - wenn er es wirklich nicht mehr weiß, kann er ja die "Passwort vergessen" Funktion auf der Webseite des Hosters benutzen - zum anderen neigen heutzutage viele Leute dazu, hier und da mal eben ihre E-Mails abzurufen, ohne über die Sicherheit ihrer Daten nachzudenken. In einem unverschlüsselten oder schlecht gesicherten (z.B. WEP) WLAN-Netzwerk könnte das Passwort somit einfach abgefangen werden. Klar, wer in unverschlüsselten Netzen seine E-Mails abruft, fährt ohnehin ein hohes Risiko, aber wenn einem ungefragt Passwörter geschickt werden, ist es halt noch größer.

Viel schlimmer an der Geschichte ist aber die Tatsache, dass Evanzo die Passwörter überhaupt im Klartext nennen kann. Dies weist darauf hin, dass sie die Passwörter auch im Klartext, also unverschlüsselt, speichern. Viele Leute benutzen für verschiedene Online-Dienste das gleiche Passwort und somit könnten die Evanzo-Mitarbeiter oder potenzielle Angreifer mit den Informationen viel Unsinn anstellen. Jeder Betreiber einer Internetseite, der Passwörter unverschlüsselt speichert, macht sich selbst zum lohnenden Angriffsziel. Im Falle eines Webhosters ist dies besonders kritisch. Angreifer könnten FTP- oder Datenbankinhalte verändern oder löschen. Mittels Änderungen an den DNS-Einstellungen einer Domain könnte diese leicht auf eine Malware-Seite oder Ähnliches umgeleitet werden. Gleiches gilt für E-Mail-Konten.

Gerade einem Webhoster sollte so etwas nicht passieren, denn die Kunden erwarten ein Mindestmaß an Sicherheit für ihre Daten. Wer bei Evanzo Kunde ist, sollte sich bei der Firma über den Sachverhalt beschweren. Hoffentlich geht man dann dazu über, Passwörter als gesalzenen Hash zu speichern.

Geschnatter

0 Kommentare, selbst mitschnattern
Diesen Beitrag hat noch niemand kommentiert. Möchtest du den Anfang machen ?