LinkedIn-Hack: 117 Millionen Passwort-Hashes zum Download aufgetaucht

Nachdem vor gut zwei Wochen die beim Hack im Jahr 2012 abgesaugte Nutzerdatenbank des Business-Netzwerks LinkedIn zum Kauf im Netz angeboten wurde, stehen jetzt die Hashwerte der Kennwörter frei zugänglich zum Download. Insgesamt 117 Millionen verschiedene SHA1-Hashes stehen der weltweiten Knackergemeinde damit als Übungsmaterial zur Verfügung. Gut 4,5 Gigabyte groß ist die Textdatei, die seit kurzem beim Filehoster mega.nz zum Download steht. Inhalt: 117 Millionen verschiedene Hashwerte der Passwörter von LinkedIn-Nutzern.

Ob die Daten aus der gleichen Quelle stammen, die vor kurzem noch den vollständigen Datensatz inklusive Namen und E-Mail-Adressen zum Kauf angeboten hat, ist unklar. Nachdem der frei zugängliche Download nur die Hashwerte enthält, ist er in erster Linie für Penetrationstester und andere Passwortcracker interessant, die damit ihre Wortlisten füttern und so kommende Knackvorgänge beschleunigen können.

Bereits in der Meldung zu den desaströsen Ausmaßen des LinkedIn-Datenlecks erläuterte heise Security, warum dieses Passwort-Leck eine Bedeutung weit über LinkedIn hinaus hat. Denn echte Passwörter sind ein wichtiger Rohstoff für Passwortknacker und deren fortgeschrittene Algorithmen. Wie das konkret aussieht, erklärt Szene-Insider Jeremi M. Gosney auf Ars Technica im Artikel How LinkedIn’s password sloppiness hurts us all. Darin erklärt er auch, warum die auf Wortlisten basierende Durchläufe erheblich effizienter und schneller sind als reines Brute-Force-Knacken.

Kein Salz = schneller Erfolg für Cracker

Nachdem LinkedIn die Hashwerte lediglich mit dem Algorithmus SHA1 erzeugte und seinerzeit noch auf das Salzen der Werte verzichtet hat – inzwischen sei dies dem Unternehmen nach aber der Fall – haben Cracker leichtes Spiel: Eine einzelne Grafikkarte AMD Radeon R9 290X erzeugt pro Sekunde über 4 Milliarden solcher Hashwerte. Dies geht aus einer von Jens "atom" Steube, Programmierer des Passwortcracking-Tools hashcat, gepflegten Tabelle hervor.

Im Gespräch mit heise Security sagte Steube, dass Hashcat v3.00 beta zusammen mit einer High-End-Grafikkarte vom Typ Nvidia GeForce GTX1080 sogar knapp 8,4 Milliarden SHA1-Hashes pro Sekunde erzeugen kann. Der Umgang mit derartig großen Dateien wie den LinkedIn-Hashes bremst die Karte laut Steube allerdings erst einmal auf gut 2 Milliarden Hashes herunter. Grund: Obwohl Hashcat die Textdatei beim Einlesen vorsortiert und Bitmaps erzeugt, dauert der Abgleich der erzeugten Hashwerte aufgrund der Größe der Ursprungsdatei länger als gewöhnlich. Mit den Bitmaps kann Hashcat schneller abgleichen, ob ein Hashwert in der Datei vorhanden ist oder nicht.

Weil LinkedIn nämlich auf das Salzen verzichtet hat, kann Hashcat dem Programmierer zufolge mit einem einzelnen SHA1-Transform sofort gegen alle 117 Millionen Hashwerte testen – was die Durchlaufgeschwindigkeit auf immense 234,000,000,000,000,000 Hashes pro Sekunde erhöht. Es ist also nur eine Frage der Zeit, bis auch die letzten Passwörter im Klartext vorliegen.

MySpace: Größtes Datenleck aller Zeiten?

Der Verkäufer, der unter dem Namen peace_of_mind im Netz die Nutzerdatenbank von LinkedIn für zwei Bitcoins feilbietet, hat nach eigenen Angaben auch die Daten von gut 360 Millionen MySpace-Konten im Angebot – für 6 Bitcoins. Auch in dieser Datenbank seien laut Leaked Source, einer kommerziellen Suchmaschine für geklaute Nutzerdaten, lediglich ungesalzene SHA1-Hashes zu finden.

Auf welchem Weg diese Datenbank nach außen gelangte, ist bisher unklar. MySpace scheint zu bestätigen, dass die Daten echt sind, und hat alle betroffenen Passwörter zurückgesetzt. Dabei handelt es sich um alle Nutzerkonten, die vor dem 11. Juni 2013 auf einer älteren Version der MySpace-Seite angelegt wurden. Wie genau die Daten abhanden gekommen sind, sagte die Firma bis jetzt nicht. Außerdem finden sich keine Aussagen dazu, ob die Passwörter gesalzen waren. Sollte die Datenbank tatsächlich 360 Millionen Sätze von Anmeldedaten enthalten, wäre dies die bislang umfangreichste Datenpanne überhaupt.

Aber damit nicht genug, peace_of_mind verkauft auch noch 65 Millionen Tumblr-Passwörter. Diese scheinen aus einem Datenleck zu stammen, das Tumblr am 12. Mai bekannt gegeben hatte und was ebenfalls vor Mitte 2013 passiert sein soll. Immerhin sind die Mailadressen und Passwörter hier gesalzen, was das Knacken deutlich erschwert. Dementsprechend ist der Datensatz auch für vergleichsweise geringe 0,4 Bitcoin zu haben. Tumblr hat also, im Gegensatz zu LinkedIn, wenigstens etwas richtig gemacht.

Korrektur: Funktionsweise von Hashcat detailreicher erklärt. (fab)