Dailymotion-Hack: Admin-Passwort war öffentlich auf GitHub zugänglich
Ende 2016 gelang es Hackern, eine Datenbank von Dailymotion abzugreifen, welche knapp 82 Millionen E-Mail-Adressen und gut 18 Millionen Passwörter enthielt. Die Passwörter waren zwar nicht im Klartext gespeichert, ein Missbrauch der Daten ist aber grundsätzlich möglich.
Nun wurde Dailymotion von der französischen Datenschutzbehörde zu einer Strafzahlung in Höhe von 50.000 Euro verpflichtet - wobei diese dem Unternehmen die Verschlüsselung der gespeicherten Passwörter positiv anrechnete.
Gleichzeitig gibt der Untersuchungsbericht aber einen Einblick in den Ablauf des Angriffes, der nur durch erhebliche Nachlässigkeiten von Dailymotion in dieser Form möglich war. So waren in einem von Dailymotion auf GitHub veröffentlichten Repository Admin-Zugangsdaten für jeden zugänglich zu finden, welche es den Angreifern ohne Nutzung eines VPNs die direkte Anmeldung im Firmennetzwerk erlaubten. Die Daten ließen sich dann über eine weitere Sicherheitslücke stehlen.