PHP.net Userdatenbank geleakt?

Vor 2 Wochen ging die Meldung rum, daß in den PHP-Code zwei Hintertüren eingebaut wurden. Dazu gibt es jetzt ein Update.

PHP.net Userdatenbank geleakt?

PHP Maintainer Nikita Popov hat in einem Update zu dem Einfügen von Hintertüren in den Code von PHP ein kleines Update gepostet. Seiner Meinung nach hatten die Angreifer Zugriff auf die Userdatenbank des Projekts bekommen und dann einen vergessenen Zugang zum Repository genutzt, um an allen sonstigen Buildeinrichtungen vorbei, den Code direkt ins Repository zu bekommen: „git-http-backend behind Apache2 Digest authentication against the master.php.net user database

Ein sinngemäßes Zitat: „Ich wußte gar nicht, daß das geht.“ . Tja 🙂

Als „unverdächtige“ Benutzer hatten sich die Angreifer ausgerechnet die Accounts vom Erfinder von PHP Rasmus Lerdorf und Nikita Popov selbst ausgesucht. Ich vermute ja mal, daß war eine Ansage und kein Versuch die Sache gut zu verschleiern. Zur Zeit meint man bei PHP, daß deren hauseigenes Gitolite System an sich nicht kompromittiert wurde. Um ganz sicher zu sein, wird trotzdem alle neu aufgesetzt.

Auch als Konsequenz wurden die Passwörter erst einmal auf BCrypt umgestellt, was nach einem weiteren Leak den Login ziemlich erschweren dürfte. Die richtigen Fragen scheint man sich jedenfalls zustellen, z.B. wieso HTTP-Passwortauths überhaupt zugelassen waren, da diese als eher leicht zu knacken angesehen werden, wohingegen Public-Key Authentifizierung deutlich sicherer ist.

https://www.theregister.com/2021/04/07/update_on_php_source_code/

Autodiebe programmieren Schlüssel um, dank geklauter Datenbank

Man könnte meinen, die Geschichte wäre aus einem Computerspiel abgeschrieben worden, aber leider ist es die Realität:

2 Autodiebe hängen kurz ein Laptop an den Jeep und sind mit dem Auto weg. Dazu benutzen Sie freiprogrammierbare Schlüssel von Autos um diese zu klauen. Mehr als 100 Jeeps wurden so geklaut, weil Chrysler die geheime Datenbank mit den Keycodes abhanden gekommen ist. Es muß die Frage erlaubt sein, wieso Chrysler die Daten nicht besser gesichert hatte. Es ist doch offensichtlich, daß so ein Datenberg Begehrlichkeiten bei legitimen und illegitimen Stellen wecken würde. Noch wichtiger ist die Frage, wieso die Codes im Auto nicht einfach geändert werden! Dran zu kommen ist ja offensichtlich nicht so schwer.

Fiat-Chrysler, war übrigens nicht in der Lage, herauszufinden, welcher Ihrer Angestellten die Daten verkauft hatte. Solchen Firmen vertrauen wir alle unser Leben an!

Ich kann es nur immer wieder sagen:

Autofirmen verstehen nichts von Computersicherheit, deswegen sollten in Autos auch keine Computer eingebaut werden, die irgendwie mit Bremsen, Motorsteuerung und Lenkung verbunden sind. 

Quelle: http://wwmt.com/news/nation-world/surveillance-video-showing-a-case-of-high-tech-grand-theft-auto