Datenleck: Last.fm-Nutzer sollen ihre Passwörter ändern

Nun hat es auch den Musikempfehlungsdienst Last.fm erwischt: Das Unternehmen fordert seine Nutzer zum Passwort-Wechsel auf. 2,5 Millionen unzureichend verschlüsselte Datensätze konnten offenbar kopiert werden.

Last.fm-Angebot: Zur Großansicht

Last.fm-Angebot:

Hamburg - Nach LinkedIn und eHarmony ist auch der Musikdienst Last.fm von einem Datenleck betroffen, das Mitgliedskonten unsicher macht. "Wir untersuchen zurzeit den Leak von Passwörtern einiger Nutzer", schreibt das Unternehmen in einem Security-Update. Es handele sich dabei um eine Vorsichtsmaßnahme. Alle Nutzer werden aufgefordert, ihre Kennwörter sofort zu ändern.

Es war zunächst unklar, ob der Vorfall bei Last.fm mit den beiden anderen Leaks zusammenhängt, die in dieser Woche bekannt wurden: Mehrere Millionen Passwörter des Business-Netzwerks LinkedIn waren auf einer russischen Website aufgetaucht, auch bei der Partnerbörse eHarmony sollen anderthalb Millionen Nutzer von einem Hack betroffen sein.

Drei Fälle, ein Urheber?

Im Fall von Last.fm scheinen ebenfalls Millionen von Datensätzen kompromittiert worden zu sein: Dem Portal "Heise Security" liegt eine Liste mit rund 2,5 Millionen sogenannten Passwort-Hashes vor. Stichproben hätten gezeigt, dass diese von Last.fm stammen. Der genutzte Hash-Algorithmus sei "ungesalzen", das heißt, es fehlt eine weitere Sicherheitsebene, auf der eine "Salz" genannte Zufallszahl ein Passwort nahezu unknackbar macht - eine Technik, die nicht erst seit gestern verfügbar ist und eigentlich Standard sein sollte.

Auch bei LinkedIn und eHarmony wurde nach Ansicht von Experten dieses weniger sichere Verfahren gewählt, bei dem mit Hilfe von frei verfügbaren Werkzeugen das Kennwort herausgerechnet werden kann. LinkedIn hat inzwischen in einer Stellungnahme angekündigt, Passwort-Hashs künftig salzen und die Sicherheitslücke damit schließen zu wollen.

Der Sicherheitsexperte Jeremiah Grossman, Gründer von WhiteHat Security, glaubt, dass die drei Fälle zusammenhängen. Auf Twitter schreibt er, LinkedIn, eHarmony und Last.fm nutzten Apache-Web-Server, aber verschiedene Programmiersprachen: "Mein Instinkt sagt mir, die Fälle hängen zusammen."

Nutzern aller Plattform wird dringend geraten, ihr Passwort zu ändern. Gerade in Fällen, wo plattformübergreifend dasselbe verwandt wird, öffnen Hacks wie diese Tür und Tor für weitere Attacken.

can

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Social Media
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren
Zur Autorin
  • Carolin Neumann berichtet und bloggt aus Hamburg über die Zukunft der Medien. Nebenbei schaut sie viel zu viele Serien.

Fotostrecke
Begriffsfindung: Wer sind eigentlich Hacker?

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.