[Internet] Millionen von Passwörtern bei LastFM gestohlen

mrPants · 09.06.12, 13:11

Zitat:

Unbekannte haben bei der Musik-Community Last.fm im großen Stil Nutzerpasswörter entwendet und ins Netz gestellt. Der Betreiber untersucht den Vorfall derzeit und fordert alle Nutzer auf, ihre Passwörter umgehend zu ändern. Wer sein Last.fm-Passwort auch zum Login bei anderen Webdiensten nutzt, sollte es besser auch dort ändern – die Passwortdiebe könnten die gestohlenen Zugangsinformationen auch auf anderen Seiten ausprobieren.

heise Security liegt eine Liste mit rund 2,5 Millionen Passwort-Hashes vor, die Stichproben zufolge tatsächlich von Last.fm stammen. Es handelt sich dabei um ungesalzene MD5-Hashes, zu denen man mit der Hilfe moderner CPUs und GPUs innerhalb kurzer Zeit die passenden Klartext-Passwörter ermitteln kann. Ambitionierten Passwortknackern ist das bei der Last.fm-Liste bereits über 1 Million mal gelungen.

Wie man das als Betreiber die Passwörter seiner Nutzer nahezu unknackbar speichert, zeigt der Artikel Cracker-Bremse auf heise Security. Nach dem Business-Netzwerk LinkedIn under Datingseite eHarmony ist dies bereits der dritte große Fall von Passwortdiebstahl innerhalb weniger Tage. Ob es einen direkten Zusammenhang zwischen den Ereignissen gibt, ist derzeit noch unklar.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Zitat:

Passwort-Lecks größer als angenommen

Die veröffentlichten Passwort-Hashes enthalten keine Adressen. Vergrößern Offizielle Aussagen zu Ursachen und Umfang der jüngsten Passwort-Lecks bei LinkedIn, eHarmony und Last.fm stehen weiterhin aus. Eine glaubwürdige Quelle berichtet, dass etwa die öffentlich gewordenen 2,5 Millionen MD5-Hashes von Last.fm lediglich der harte Kern einer größeren Liste von über 17 Millionen Hashes seien. Diese wurde demnach bereits im Sommer 2011 in einschlägigen Kreisen verbreitet. 16,4 Millionen – also ganze 95 Prozent davon wurden demnach schon geknackt, was nach Einschätzung von Insidern kein ungewöhnlicher Wert für ungesalzene Hashes ist.

Da die Listen keine Dubletten enthalten, ist anzunehmen, dass eine deutlich größere Anzahl von Benutzern betroffen ist. Auch bei LinkedIn, wo in offiziellen Stellungnahmen immer noch verharmlosend von "einigen Passwörtern" die Rede ist, deutet vieles darauf hin, dass aus der öffentlich gewordenen Liste mit 6,5 Millionen SHA1-Hashes gerade die einfachen, bereits geknackten Passwörter bereits aussortiert wurden. Der Blog-Beitrag LinkedIn vs. password cracking zeigt übrigens sehr anschaulich, mit welchen Tools und Techniken Passwörter heutzutage geknackt werden.

Die konkreten Auswirkungen dieser Passwort-Lecks sind auch noch nicht klar. Die öffentlich verteilten Listen enthielten zwar keine Benutzernamen oder E-Mail-Adressen. Allerdings muss man davon ausgehen, dass die Einbrecher selbst durchaus über diese Daten verfügen und diese auch nutzen. Last.fm räumte bereits letzten Monat ein, dass mehrere Berichte über Spam-Aktivitäten mit Anwenderdaten vorliegen. Da zum Teil identische Spam-Mails über E-Mail-Konten aus den LinkedIn- und Last.fm-Leaks eingehen, liegt die Vermutung nahe, dass sich beide Datenbanken in derselben Hand befinden.

Dafür gibt es eine erste Erklärung, warum zumindest Last.fm auf eigentlich selbstverständliche Sicherheitsmaßnahmen für Passwörter verzichtet hat. Ein nach eigenen Angaben ehemaliger Systemarchitekt der Firma Last.fm macht Designschwächen in der Architektur des mobilen API des Musikdienstes für die unzeitgemäß schwache Verschlüsselung verantwortlich. Bei dem eingesetzten Verfahren wird aus dem Passwort und dem Benutzernamen Client-seitig ein Zugangsschlüssel berechnet. Um diesen auf dem Server zu überprüfen, müssen dort ebenfalls die lediglich mit MD5 gesicherten Passwörter vorhanden sein. Dieses API wurde vor 9 Jahren entwickelt und offenbar seitdem nicht auf den Stand der Technik gebracht. Man darf gespannt sein, welche Ursachen für diese Schlamperei bei LinkedIn und eHarmony ans Tageslicht kommen.

Ein Detail am Rande: Obwohl eHarmony seine Nutzer dazu aufforderte, starke Passwörter unter anderem mit Groß- und Kleinbuchstaben zu verwenden, speicherten sie die Passwörter alle in Grossbuchstaben und schwächten die ohnehin schwache Sicherung damit noch weiter.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

in irgend einem security/hackerblog hab ich gelesen das die passwörter sogar schon vor knapp einem jahr gestohlen worden sind. wenn das wirklich stimmt kann mich lastfm aber sowas von am arsch lecken!

hulse · 09.06.12, 14:16

Ich will hier keine Kriminelle Machenschaften starten, denn die Passwörter gehen mir so ziemlich am Arsch vorbei, aber mich würde dennnoch interessieren auf welchen Seite die Leute ständig die Passwörter bereitstellen

mrPants · 09.06.12, 19:38

Zitat:

Zitat von hulse

Ich will hier keine Kriminelle Machenschaften starten, denn die Passwörter gehen mir so ziemlich am Arsch vorbei, aber mich würde dennnoch interessieren auf welchen Seite die Leute ständig die Passwörter bereitstellen

meistens auf pastebin, anonbin etc die addys kriegst du über twitter

mrPants · 09.06.12, 19:44

srry doppelpost

fischer93nes · 09.06.12, 14:24

"ungesalzene" haha, selten so gelacht. Ich weiß das es übersetzt so heißt... aber manche Wörter sollten im Englischen bleiben.