Passwortdaten von Flirtlife.de kompromittiert
Eine Liste mit Passwörtern von rund 100.000 Nutzern des Dating-Portals ist am vergangenen Wochenende an die Öffentlichkeit gelangt.
- Christiane Rütten
Auf der Sicherheitsmailingliste Full Disclosure wurde am vergangenen Sonntagabend eine Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht. Der Betreiber reagierte nach eigenem Bekunden bereits an diesem Montagmorgen mit der Vergabe neuer Passwörter für die Accounts und informierte die Nutzer per E-Mail über die Maßnahme. Zur Reaktivierung des Accounts müssen Turteltäubchen nun ein neues Passwort setzen. Im eigenen Interesse sollte dies natürlich nicht wieder das alte Passwort sein, da es nun als bekannt angesehen werden muss.
Flirtlife-Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, dass es sich bei der Liste wahrscheinlich um einen alten Stand der Passwortdatenbank handelt, da etwa die Hälfte der Benutzernamen mittlerweile nicht mehr existierten. Demnach wären also höchstens rund ein Viertel der derzeit 200.000 Accounts von der Veröffentlichung betroffen. Wie die Account-Daten an die Öffentlichkeit gelangen konnten, ist für Kopolt derzeit noch schleierhaft. Passwörter würden bei Flirtlife ausschließlich als so genannte MD5-Hashes abgelegt und seien damit nicht im Klartext auslesbar. Er vermutet, dass die Angreifer nicht über eine Schwachstelle in der Flirtlife-Seite an die Daten gelangten. Man sei im Hause jedoch noch mit den Untersuchungen zugange.
Derweil offenbart ein Blick auf die Passwortliste interessante Einsichten. Sie ist stellenweise mit HTML- beziehungsweise XML-ähnlichen Strukturen durchsetzt. Mehrfach auftretende BODY-Tags, wie sie zu Beginn und Ende jeder Webseite auftauchen, legen die Vermutung nahe, dass sie das Ergebnis mehrerer Sammelaktionen gewesen sein könnte. Offensichtliche Buchstabendreher in Account-Namen weisen auf die Protokollierung mehrfacher, erfolgloser Log-in-Versuche hin. Möglicherweise versuchten die Angreifer auch, sich mit einem Passwort aus einer Liste besonders häufig auftretender Passwörter bei möglichst vielen Accounts anzumelden.
Vernachlässigt man Vertipper bei Account-Namen sowie unterschiedliche Groß- und Kleinschreibung, ergibt sich in der veröffentlichten Liste bei einer Gesamtzahl von rund 100.000 Datensätzen folgende Verteilung der häufigsten Passwörter:
| 123456 | 1375 |
| ficken | 404 |
| 12345 | 367 |
| hallo | 362 |
| 123456789 | 260 |
| schatz | 253 |
| 12345678 | 215 |
| daniel | 215 |
| askim | 184 |
| nadine | 177 |
| 1234 | 176 |
| passwort | 173 |
| sommer | 159 |
| baby | 159 |
| frankfurt | 159 |
Auffällig ist die starke Häufung der Ziffernfolge 1234, mit der insgesamt rund 2,5 Prozent aller Passwörter beginnen: Ein blinder Log-in-Versuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg. Ebenfalls ein zu starker Themenbezug oder typische Vor- und Kosenamen als Passwort könnten zum Verhängnis werden. Auch sehr beliebt: Markennamen, Sportvereine und Jahreszahlen. Immerhin: Rund 40 Prozent der Passwörter tauchen nur einmal auf, ein Großteil davon sind unvorhersehbare Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Daran sollten sich Flirtlife-Nutzer für das neue Passwort ein Beispiel nehmen. (cr)
