Linux Mint: Forenkonten gekapert, Teile der Webseite offline
Neben den ISO-Images der Distribution wurden bei Linux Mint auch 71.000 Foren-Accounts kompromittiert. Die dazugehörigen Passwort-Hashes halten einem gezielten Angriff wahrscheinlich nicht stand.
- Fabian A. Scherschel
Beim Angriff auf die Server der Linux-Distribution Linux Mint, bei der auch eine Hintertür in die Images des Betriebssystems eingebaut wurde, sind die Daten von 71.000 Forenkonten kopiert worden. Außerdem sind Teile der Webseite des Projektes momentan offline. Dabei könnte es sich um eine Vorsichtsmaßnahme der Betreiber handeln, es könnte allerdings auch sein, dass die Angreifer ihre Finger im Spiel haben. Im Zuge des Hacks war unter anderem Zugriff auf die Server der Distribution gegen Geld angeboten worden.
Durchsuchbare Datenbank der kompromittierten Konten
Sicherheitsforscher Troy Hunt, der die Webseite haveibeenpwnd.com betreibt, hat den Datensatz aus dem Foren-Hack in seinen Dienst eingepflegt – dort kann man anhand seiner Mail-Adresse nachschauen, ob diese von dem Datenleck betroffen ist.
Laut dem Projektleiter von Linux Mint wurden bei dem Angriff Nutzernamen, E-Mail-Adressen und gehashte Passwörter kopiert. Er empfahl allen Foren-Nutzern am Sonntag ihr Passwort vorsichtshalber zu änden, was momentan nicht möglich ist, da das Mint-Forum offline ist. Nutzer sollten allerdings identische Passwörter auf anderen Webseiten ebenfalls ändern.
Passwort-Hashes sind wahrscheinlich knackbar
Laut dem US-Nachrichtenportal ZDNet sind die Passwörter mit phpass gehasht. Bruteforce-Angriffe darauf, wie auch auf andere Hash-Methoden, sind dokumentiert. ZDNet hatte nach eigenen Angaben Kontakt zu einem Hacker mit dem Nickname Peace, der für den Hack verantwortlich sein soll. Der Hacker will seit Ende Januar Kontrolle über Teile der Mint-Server gehabt haben. Bis jetzt haben die Mint-Entwickler auf Anfragen von heise Security zum Hergang des Angriffs nicht reagiert.
Die Angreifer hatten die Server der Distribution gekapert, was bekannt geworden war, nachdem die Hacker eine Hintertür in die Images der Distribution eingebaut hatten. Die Hintertür sammelt Passwörter und schickt sie an die Server der Hacker. Entsprechend kompromittierte ISOs von Linux Mint sollten unter keinen Umständen weiter benutzt werden. Neue Mint-Images gibt es derzeit nicht.
Korrektur: Beschreibung der Angriffe auf Hashfunktionen angepasst. (fab)