Hier das von Libri.de veröffentlichte Störfall-Protokoll:
Am Donnerstag dem 29. Oktober um ca. 13 Uhr wurde Libri.de mitgeteilt, dass es möglich sei, sich im Content-Managementsystem für die Buchhändler unerlaubten Zugang zu drei Buchhändler-Accounts zu verschaffen.
Timeline
- Sofort nach dem Anruf wurde durch die Systemadministration der Zugang über das Internet zu dem betroffenen Content-Managementsystem gesperrt.
- Direkt danach, um etwa 13:30 begann die Technik damit, die Sicherheits-Logs zu dem betroffenen System auszuwerten und nach auffälligen Zugriffsmustern zu forschen. Die betroffenen Accounts konnten ermittelt werden. Insgesamt wurden drei erfolgreiche Versuche erkannt. Daten aus den Accounts wurden nicht in Umlauf gebracht.
- Um etwa 13:45 konnte die Ursache eingegrenzt werden: Bei den betroffenen Accounts wurden die initial vergebenen Default-Passworte nicht durch den Besitzer des Accounts geändert. Hierdurch konnte sich der Angreifer durch systematisches Erraten des Passwortes einen illegalen Zugang verschaffen.
- Um etwa 14:00: In einer Besprechung zwischen Technik und Betrieb wurde die Lage diskutiert: Da alle Passworte verschlüsselt gespeichert werden, kann nicht ermittelt werden, welche Buchhändler-Accounts gefährdet sein könnten und weiterhin die (unsicheren) Default-Passwörter oder zu schwache Passwörter verwenden. Daher wurde beschlossen, dass alle Passwörter mit einem sicheren Passwort-Generator neu gesetzt werden.
Zudem wurden die folgenden technischen Änderungen beschlossen:
I. Nach dem ersten Login wird der Benutzer gezwungen, sein Passwort sofort zu ändern.
II. Es wird durch technische Mittel die Wahl eines sicheren Passwortes erzwungen.
III. Nach drei fehlgeschlagenen Login-Versuchen muss der Benutzer ein CAPTCHA lösen, bevor ein erneuter Login-Versuch möglich ist. So soll ein automatisierter Angriff verhindert werden.
- Um 14:15 Uhr wurde in der Technik mit der Umsetzung der Maßnahmen II. und III. begonnen.
