zurück zum Artikel

Frage- und Antwort-Plattform Formspring kompromittiert

Ronald Eikenberg

Nach den Lecks bei LinkedIn, Last.fm und eHarmony sind erneut hunderttausende Passworthashes im Umlauf. Rund die Hälfte davon wurden schon geknackt.

Über 400.000 Passwörter der bereits wieder aus der Mode gekommenen Frage- und Antwort-Platfform Formspring [1] sind in falsche Hände geraten. Der Vorfall weckt Erinnerungen an die Passworts-Lecks [2] bei prominenten Sites wie LinkedIn, Last.fm und eHarmony. Vor rund einem Monat fanden dabei mehrere Millionen Passwort-Hashes ihren Weg ins Netz.

heise Security hatte die Formspring-Hashes [3] Ende vergangener Woche entdeckt [4], konnte zu diesem Zeitpunkt aber nicht bestimmen, woher die Daten stammen. Kurz darauf meldete sich ein Leser unseres englischsprachigen Schwestermagazins The H [5] mit dem entscheidenden Hinweis, dass hunderte Passwörter den Begriff formspring enthalten.

Nachdem wir die Betreiber der Plattform mit unserer Entdeckung konfrontierten, konnte das Unternehmen die Schwachstelle schnell in einem seiner "Entwicklungsserver" aufspüren [6] und nach eigenen Angaben auch schließen. Zudem hat Formspring die Passwörter sämtlicher Nutzer zurückgesetzt. Bei dieser Gelegenheit hat das Unternehmen das Hash-Verfahren von SHA-256 [7] (gesalzen) auf bcrypt [8] umgestellt, was man bisher nur mit erheblichem Rechenaufwand und somit sehr langsam knacken kann.

Von den rund 400.000 Hashes haben findige Passwortknacker übrigens schon die Hälfte rekonstruiert. Es ist wahrscheinlich, dass das Datenleck noch deutlich größer ist und die veröffentlichten Hashes lediglich solche sind, die der Besitzer der vollständigen Liste nicht selbst knacken konnte. (rei [9])

URL dieses Artikels:
https://www.heise.de/-1636383

Links in diesem Artikel:
[1] http://formspring.me
[2] https://www.heise.de/news/Passwort-Lecks-groesser-als-angenommen-1613946.html
[3] http://forum.insidepro.com/viewtopic.php?t=15467
[4] https://www.heise.de/news/lost-found-Freizuegige-Tweets-Selbstblockade-Phrack-fuer-s-eBook-1633992.html
[5] http://www.h-online.com/
[6] http://blog.formspring.me/2012/07/urgent-change-your-formspring-password/
[7] http://de.wikipedia.org/wiki/Secure_Hash_Algorithm#SHA-2
[8] http://de.wikipedia.org/wiki/Bcrypt
[9] mailto:rei@heise.de

Copyright © 2012 Heise Medien