Außer der Email- und Postadresse der Kunden standen in der gehackten Datenbank auch verschlüsselte Passwörter. Sie wurden als kryptologische Hashwerte gespeichert. Weil es aber trotzdem möglich sei, insbesondere einzelne Passwörter zu knacken, forderte der Verlag betroffene Kunden auf, ihre Zugangsdaten jetzt zu ändern.
Schwachstellen wurden geschlossen
Da nicht bekannt ist, wie die Hashes erzeugt wurden, läßt sich die Gefährdung der Paßwörter kaum abschätzen. Genauere Angaben, ob es sich dabei etwa um sehr einfach zu knackende, ungesalzene SHA1-Hashes oder um ein wirklich sicheres Verfahren wie PBKDF2 oder bcrypt handelt, machte die SZ nicht.
Der Angriff erfolgte angeblich über Blogseiten beziehungsweise Blogfunktionen, die inzwischen deaktiviert wurden. „Dadurch wurden die für den Angriff verantwortlichen Schwachstellen geschlossen. Erneute Angriffsversuche wurden daraufhin nicht mehr festgestellt.“ Betroffene Nutzer seien per Email über den Vorfall informiert und auf empfohlene Sicherheitsmaßnahmen hingewiesen worden.