Umfang des Angriffs noch unklar
Der Vorfall ereignete sich nach offiziellen Angaben zu einem unbestimmten Zeitpunkt der vergangenen Woche, wie zdnet.de dazu berichtete. Betroffen sein sollen unter anderem
„die Passwörter mancher Nutzer von Sync und Kontodaten. “
Der gesamte Umfang des Angriffs ist noch unklar.
Wie es heißt nutzten im vergangenen Monat über 1,7 Millionen Menschen die Opera Sync- Funktion, mit der sich seit Version 32 vom September 2015 Website-Passwörter geräteübergreifend in Opera-Browsern nutzen lassen. Ob die verschlüsselten Passwörter für die Hacker allerdings nutzbar sind, hängt vom genutzten Hashing-Algorithmus ab. Das Unternehmen soll sich dazu noch nicht geäußert haben.
Keine Angaben zur Verschlüsselung
Opera-Mitarbeiter Tarquin Wilton-Jones erklärte dazu in seinem Blogbeitrag: das Unternehmen werde
„keine genauen Angaben machen, wie die Authentifizierungspasswörter auf unseren Systemen für die Speicherung vorbereitet werden.“
Mit einer solchen Angabe erweise man einem potenziellen Angreifer nur einen Dienst.
Die Passwörter für externe Dienste, also die vom Sync-User benutzten Websites, waren verschlüsselt. Auch hier gibt es keine Angabe zum verwendeten Algorithmus – und nicht einmal zur Schlüssellänge.
Die Opera Sync-Funktion
Operas Sync-Funktion übernimmt Funktionen eines Passwortmanagers und weist auch die Schwachstelle eines solchen Programms auf: Ein einziges Passwort gewährt Zugriff auf alle anderen eines Users. Somit gibt es einen einzelnen, für Kriminelle besonders attraktiven Angriffspunkt. Vorteil für den Anwender ist natürlich, dass er sich nur ein Passwort merken muss.
Weiterführende Links:
opera blog: Opera server breach incident
