Agile schützt vor Torheit nicht
Published on Wednesday, June 1, 2016 12:35:22 AM UTC in Security
Heute erhielt ich eine Nachricht von Scrum.org, bei denen ich in der Vergangenheit zum Zwecke der Zertifizierung einen Account angelegt hatte. Anscheinend hat man dort vor einigen Tagen einen Administrator-Account entdeckt, der, nunja, nicht hingehört, wo er gefunden wurde. Passenderweise wurde man angeblich am nächsten Tag vom Hersteller über eine zugehörige Sicherheitslücke in der für die Webseite verwendete Software informiert. Den Teil der Nachricht, der dann folgt, sollte man sich auf der Zunge zergehen lassen (Hervorhebung von mir):
While we continue to investigate the matter, we have determined that user’s names, email addresses, encrypted passwords, the password decryption key, and completed certifications and their associated test scores may have been compromised [...]
The... password... decryption... key? Seriously?
Es ist 2016 und ein vorgeblicher Vorreiter agiler Softwareentwicklung mit der "Mission zur Verbesserung des Berufsstands" speichert Benutzerpasswörter mit einer reversiblen Verschlüsselung? Verliert dann durch eine Sicherheitslücke nicht nur die verschlüsselten Passwörter, sondern auch noch den zugehörigen Schlüssel? Nicht cool.
Die Bestätigung der Echtheit der Meldung erfolgte übrigens per Twitter:
Tja. Der Weg zur Hölle ist gepflastert mit guten Vorsätzen.
Schade.