Vor einer Woche wurde bei vimentis.ch eine Sicherheitslücke bekannt: Über hunderttausend Kombinationen aus E-Mail-Adresse und Passwort-Hash konnten per SQL-Injection (resp. einem simplen Mausklick) ausgelesen werden. Betroffen sind davon auch hunderte PolitikerInnen aus National-, Ständerat und Grossräten.
Wie lange die Lücke bereits bestanden hat, ist unbekannt. Nach einem Tipp wurde sie in dieser Woche geschlossen. Leider haben die Verantwortlichen der Polit-Plattform es bis jetzt versäumt, die User zu benachrichtigen. Auch wenn die Passwörter «nur» als Hashes (und salted) vorliegen, können schwächere mit entsprechenden Tools herausgefunden werden.
Wer also einen Account hat und ein lohnendes Ziel darstellt oder das Passwort auch noch an anderen Orten verwendet oder nur ein schwaches benutzt, sollte dieses unbedingt ändern.