Datendiebstahl - Wiederverwendung von Passwörtern

What happened?

Die Stiftung Root-me hat immer allen ihren Mitgliedern vertraut, und die aktivsten von ihnen haben in der Regel Verwaltungsrechte.
Ein Plattformadministrator, der in seiner Zeit viel zu dem Projekt beigetragen hat und sich dann zurückgezogen hat, um seinem Berufs- und Familienleben nachzugehen, wurde Opfer eines Angriffs zur Wiederverwendung von Passwörtern: Sein E-Mail-Passwort tauchte in einem Leck auf, und leider war es dasselbe wie auf der Root-Me-Plattform. Dieses kompromittierte Konto wurde benutzt, um sich unberechtigten Zugang zum Backend zu verschaffen, von dem aus Root-Me verwaltet wird.

Wann geschah dies?

Der Einbruch begann am 23. Mai und dauerte bis zum folgenden Tag, dem 24. Mai 2020.

Was sind die Auswirkungen?

Es wurden sowohl Challenge-Lösungen als auch E-Mail-Adressen gestohlen. Passwort-Hashes sind davon nicht betroffen. Die anderen gestohlenen Daten, wie öffentliche GPG-Schlüssel oder Benutzernamen, sind bereits öffentliche Informationen, die in den Profilen angezeigt werden.

Und jetzt?

Um unser Backend und damit Ihre Daten zu schützen, haben wir uns entschieden, eine GPG-basierte Zwei-Faktor-Authentifizierung für Konten mit Administrationsrechten einzurichten.