Hacker-Angriff: Nach LinkedIn auch eHarmony-Passwörter geleakt

Hacker haben offenbar nicht nur die Zugangsdaten von mehreren Millionen LinkedIn-Kunden erbeutet, sondern auch die Partnerbörse eHarmony geknackt. Experten geben die Schuld den schludrigen Sicherheitsvorkehrungen. 1,5 Millionen Mitglieder sind betroffen.

Partnerbörse eHarmony (Screenshot): Passwörter nur unzureichend geschützt Zur Großansicht

Partnerbörse eHarmony (Screenshot): Passwörter nur unzureichend geschützt

Zwei Listen mit insgesamt rund acht Millionen verschleierten Passwörtern hatten unbekannte Angreifer ins Netz gestellt - damit jeder, der ein wenig Zeit und Rechenkraft übrig hat, sich an der Entschlüsselung beteiligen kann. Die größere Liste mit 6,5 Millionen Einträgen konnte bereits dem Business-Netzwerk LinkedIn zugeordnet werden. Das zweite Verzeichnis mit 1,5 Millionen Einträgen gehört offenbar zum Flirtportal eHarmony, schreibt "Ars Technica". Wer bei LinkedIn oder eHarmony ein Profil hat, sollte schnellstmöglich sein dortiges Passwort ändern - und überlegen, ob dieses Passwort womöglich noch auf anderen Seiten benutzt wird.

Das Portal eHarmony hat mittlerweile das Datenleck bestätigt: "Wir haben herausgefunden, dass ein kleiner Teil unserer Nutzerdatenbank betroffen ist." Kunden sollten sich aber gewiss sein, dass eHarmony "robuste Sicherheitsmaßnahmen" einsetze.

Auch LinkedIn hat den Passwort-Diebstahl eingeräumt. In einem vorsichtig formulierten Blog-Eintrag schreibt LinkedIn-Direktor Vicente Silveira, man könne bestätigen, dass einige der kompromittierten Passwörter mit LinkedIn-Nutzerkonten korrespondieren." Diese Passwörter seien ungültig gemacht worden. Nun würden die betroffenen Nutzer umgehend zwei E-Mails erhalten: eine mit konkreten Anweisungen, wie sie ein neues Passwort einrichten können, und eine zweite mit einer Erklärung zum Sachverhalt. Beide E-Mails würden keine Links beinhalten. Vermutlich, um die Gefahr durch Phisher und andere Betrüger kleinzuhalten, die jetzt versuchen werden, Nutzern betrügerische Nachrichten zukommen zu lassen.

Der Passwort-Leak ist nicht nur ein Sicherheitsrisiko, sondern eine erneute Warnung, Dienstleistern im Internet nicht blind zu vertrauen. Die Zugangsdaten bei LinkedIn und eHarmony waren nach Ansicht mehrerer Experten nur unzureichend geschützt. Zwar waren sie mit einem sogenannten Hash-Algorithmus unkenntlich gemacht, der gilt aber schon seit Jahren als prinzipiell geknackt. Stand der Technik wäre zumindest eine zusätzliche Verschleierung dieser Hashes mit einer Zufallszahl, dem sogenannten Salz. Durch die Unvorsicht waren selbst komplexe Passwörter mit Sonderzeichen und großer Zeichenlänge nicht sicher vor Hackern.

"Ungesalzene Hashes" können mit Hilfe frei verfügbarer Werkzeuge geknackt, also in ihren Klartext aufgelöst werden. Dazu braucht es zwar viel Rechenleistung und Zeit. Wenn sich aber, wie in diesem Fall, viele Freiwillige zusammentun, können in wenigen Tagen rund acht Millionen Passwörter entschlüsselt werden. Das hätten die Betreiber von LinkedIn und eHarmony wissen und entsprechende Sicherheitsvorkehrungen treffen müssen.

Tatsächlich schreibt LinkedIn in einer Stellungnahme, dass die kürzlich vorgenommenen Verbesserungen auch ein Hashen und Salzen der Passwort-Datenbank einschließen werde. Diese Maßnahme kommt allerdings zu spät.

kno

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 2 Beiträge
Alle Kommentare öffnen
    Seite 1    
1.
www_hassblog_de 07.06.2012
Zitat von sysopHacker haben offenbar nicht nur die Zugangsdaten von mehreren Millionen LinkedIn-Kunden erbeutet, sondern auch die Partnerbörse eHarmony geknackt. Experten geben die Schuld den schludrigen Sicherheitsvorkehrungen. 1,5 Millionen Mitglieder sind betroffen. http://www.spiegel.de/netzwelt/web/0,1518,837486,00.html
Na hoffentlich ist nicht auch eHarmony sicherheitstechnisch in den 90s stehengeblieben und verwendet unsalted/ungesalzene Hashes. Daß einem solche grobe Fahrlässigkeit heute noch unterkommt ist ein viel erschreckender Akt als der Hack an sich.
2.
dedie 07.06.2012
Zitat von www_hassblog_deNa hoffentlich ist nicht auch eHarmony sicherheitstechnisch in den 90s stehengeblieben und verwendet unsalted/ungesalzene Hashes. Daß einem solche grobe Fahrlässigkeit heute noch unterkommt ist ein viel erschreckender Akt als der Hack an sich.
Ein grobe Fahrlässigkeit ist eher das problemlose eindringen in die Datenbank. Ohne irgendwelche fahrlässigen Serverlücken oder ähnliches wäre das auslesen der Passwörter(ob gesalzen oder nicht) bekanntlich gar nicht möglich.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Netzticker
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 2 Kommentare
Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.