FamilySearch-Benutzerkonten gehackt

Originally published at: FamilySearch-Benutzerkonten gehackt • Verein für Computergenealogie e.V. (CompGen)

Seit dem 13. Oktober 2022 versendet FamilySearch E-Mails mit dem Betreff: „Wichtige Informationen über Ihr Kirchen-Konto“ an zahlreiche Personen, deren Adressen und Daten auf den Rechnern der Organisation gespeichert sind. Die Absenderadresse ist: Church of Jesus Christ info@e.churchofjesuschrist.org. Meine Mail traf am 15.10.2022 bei mir ein:


Dass dies keine Fake-Meldung ist, zeigt auch die Information der deutschen Pressestelle der Kirche, die eine Erklärung und – darunter – Antworten auf häufig gestellte Fragen zum Vorfall mit Kirchenkontodaten auf der Website veröffentlichte. Die Pressestelle schreibt, dass Ende März 2022 unbefugte Aktivitäten in bestimmten Computersystemen festgestellt wurden, die personenbezogene Daten einiger Mitglieder, Mitarbeiter, Vertragspartner und Freunde der Kirche betrafen. Die gespeicherten Forscherdaten in Stammbäumen seien nicht betroffen. Weiter heißt es: „Wenn Sie keine Benachrichtigungs-E-Mail erhalten haben, ist es unwahrscheinlich, dass Ihre personenbezogenen Daten betroffen waren.

Bei manchen Empfängern löste die Mail Irritationen aus, denn es konnte der Eindruck entstehen, man sei als Mitglied der Kirche Jesu Christi der Heiligen der Letzten Tage angeschrieben worden, obwohl man ihr gar nicht angehört. Das ist sicher falsch.

Ein solches FamilySearch-Benutzerkonto existiert für alle, die sich bei FamilySearch zur Suche nach Daten und Kirchenbüchern angemeldet haben. Dabei wurden Name und Vorname, Geburtsdatum, Geschlecht, E-Mail-Adresse oder Telefonnummer, das Land und das Passwort gespeichert. Ob nun alle Nutzer von FamilySearch-Daten mit solch einem Benutzerkonto betroffen sind, ist unklar.

CompGen empfiehlt allen, die das Internet nutzen, sichere Passwörter zu verwenden und diese auch häufiger zu wechseln.

Das ist eine gut gemeinte aber leider nicht mehr zeitgemäße Empfehlung.
Wichtiger wäre:

Passworte häufig zu wechseln ist (unter der Voraussetzung, man nutzt komplexe Passworte) keine geeignete Strategie, da dieses Vorgehen nur dazu führt, dass unsichere Passworte gewählt werden.

Grundsätzlich halte ich es für bedenklich, indirekt (und hier sicher unbeabsichtigt) Nutzern die Verantwortung für ihre Kontodaten zu übertragen.
Nein, wenn „Hacks“ zu beklagen sind, ist das immer ein Komplettversagens des Serverbetreibers.

Meistens sind sogenannte „Hacks“ keine Hacks, sondern das Ausnutzen simpler Sicherheitslücken, die durch falsche Architektur, unsichere Betriebssysteme, Infrastruktur mit seit langen bekannten und nicht geschlossen (und architekturbedingt nicht schließbaren) Lücken, ranziger Software, nicht zeitgerecht eingespielten Patches, etc, etc. beruht.

Angebliches Hacking oder der Verweis auf Softwarefehler sind immer nur billige Ausreden und verschleiern das tatsächliche Versagen der Betreiber.