Passwort-Lecks größer als angenommen
Die ursprünglichen Passwort-Listen von LinkedIn, eHarmony und Last.fm waren offenbar viel größer als die jetzt veröffentlichten. Sie kursieren seit Jahren und werden unter anderem für den Versand von Spam genutzt.
Offizielle Aussagen zu Ursachen und Umfang der jüngsten Passwort-Lecks bei LinkedIn, eHarmony und Last.fm stehen weiterhin aus. Eine glaubwürdige Quelle berichtet, dass etwa die öffentlich gewordenen 2,5 Millionen MD5-Hashes von Last.fm lediglich der harte Kern einer größeren Liste von über 17 Millionen Hashes seien. Diese wurde demnach bereits im Sommer 2011 in einschlägigen Kreisen verbreitet. 16,4 Millionen – also ganze 95 Prozent davon wurden demnach schon geknackt, was nach Einschätzung von Insidern kein ungewöhnlicher Wert für ungesalzene Hashes ist.
Da die Listen keine Dubletten enthalten, ist anzunehmen, dass eine deutlich größere Anzahl von Benutzern betroffen ist. Auch bei LinkedIn, wo in offiziellen Stellungnahmen immer noch verharmlosend von "einigen Passwörtern" die Rede ist, deutet vieles darauf hin, dass aus der öffentlich gewordenen Liste mit 6,5 Millionen SHA1-Hashes gerade die einfachen, bereits geknackten Passwörter bereits aussortiert wurden. Der Blog-Beitrag LinkedIn vs. password cracking zeigt übrigens sehr anschaulich, mit welchen Tools und Techniken Passwörter heutzutage geknackt werden.
Die konkreten Auswirkungen dieser Passwort-Lecks sind auch noch nicht klar. Die öffentlich verteilten Listen enthielten zwar keine Benutzernamen oder E-Mail-Adressen. Allerdings muss man davon ausgehen, dass die Einbrecher selbst durchaus über diese Daten verfügen und diese auch nutzen. Last.fm räumte bereits letzten Monat ein, dass mehrere Berichte über Spam-Aktivitäten mit Anwenderdaten vorliegen. Da zum Teil identische Spam-Mails über E-Mail-Konten aus den LinkedIn- und Last.fm-Leaks eingehen, liegt die Vermutung nahe, dass sich beide Datenbanken in derselben Hand befinden.
Dafür gibt es eine erste Erklärung, warum zumindest Last.fm auf eigentlich selbstverständliche Sicherheitsmaßnahmen für Passwörter verzichtet hat. Ein nach eigenen Angaben ehemaliger Systemarchitekt der Firma Last.fm macht Designschwächen in der Architektur des mobilen API des Musikdienstes für die unzeitgemäß schwache Verschlüsselung verantwortlich. Bei dem eingesetzten Verfahren wird aus dem Passwort und dem Benutzernamen Client-seitig ein Zugangsschlüssel berechnet. Um diesen auf dem Server zu überprüfen, müssen dort ebenfalls die lediglich mit MD5 gesicherten Passwörter vorhanden sein. Dieses API wurde vor 9 Jahren entwickelt und offenbar seitdem nicht auf den Stand der Technik gebracht. Man darf gespannt sein, welche Ursachen für diese Schlamperei bei LinkedIn und eHarmony ans Tageslicht kommen.
Ein Detail am Rande: Obwohl eHarmony seine Nutzer dazu aufforderte, starke Passwörter unter anderem mit Groß- und Kleinbuchstaben zu verwenden, speicherten sie die Passwörter alle in Grossbuchstaben und schwächten die ohnehin schwache Sicherung damit noch weiter. Über die heuchlerische Besorgnis der Dienstebetreiber beschwert sich auch der heise-Security-Kommentar LinkedIn und die Passwörter. (ju)
