Passwort-Klau bei LinkedIn, eHarmony und Last.fm

Das Netzwerk LinkedIn wurde offenbar Opfer eines Hackangriffs. Die Hash-Werte von 6,5 Millionen Passwörtern der Nutzer sollen frei zugänglich auf einer russischen Plattform im Netz stehen und jetzt der Reihe nach geknackt werden. Das soll bereits bei mehr als 300.000 Zugangsdaten gelungen sein, da die Passwörter durch den Hash nur unzureichend gesichert wurden. Auch ein kompliziertes Passwort kann die Entschlüsselung nicht verhindern, wenn es in der Datenbank nicht nach dem aktuellen Stand der Technik mit einem „Salt“ gespeichert wurde.

LinkedIn hat diesen Angriff inzwischen bestätigt. Auch gibt das Unternehmen zu, dass ein Teil der Passwörter eindeutig einem Kundenkonto zugeordnet werden konnte. Deshalb raten die Experten den Netzwerknutzer dringend dazu, ihre Passwörter zu ändern. Außerdem verschickt das Unternehmen E-Mails mit Hinweisen an die Mitglieder, wie sie ein neues Passwort erstellen können.

LinkedIn hebt dabei hervor, dass diese E-Mail keinen Link enthält. Sollten also Mails auftauchen, die die Nutzer auf einen Link leiten, handelt es sich definitiv um eine Spam-E-Mail. Diese führt meist auf eine manipulierte Webseite, um so die Passwörter zu stehlen. Erst wenn Nutzer nach Erhalt der E-Mail den Anweisungen gefolgt sind, versendet LinkedIn eine zweite E-Mail. Erst diese erhält einen Link, über den das Passwort zurückgesetzt werden kann.

Zudem hat das Netzwerk zusätzliche Sicherheitsvorkehrungen angekündigt. Durch eine effektivere Verschlüsselung soll das Knacken von Passwörtern künftig deutlich erschwert werden. Zum eigenen Schutz empfiehlt LinkedIn seinen Nutzern außerdem, die Passwörter häufig zu ändern und auf keinen Fall das gleiche Passwort für mehrere Dienste zu nutzen.

Passwort-Diebstahl bei eHarmony: Am Mittwoch (06.06.2012) musste auch die Dating-Plattform eHarmony einen Einbruch in ihre Datenbank einräumen. Angeblich sollen 1,5 Millionen Datensätze von registrierten Nutzern im Netz verfügbar sein. Auch hier wurden die Passwörter offenbar nicht ausreichend geschützt in der Datenbank gespeichert, obwohl das Unternehmen in einer Meldung etwas anderes behauptet.

Auch die Musik-Community Last.fm wurde Opfer eines Hacker-Angriffs, wie heise Security meldet. Die Nutzer-Liste umfasst 2,5 Millionen Passwort-Hashes von denen wohl schon 1 Million geknackt wurden. Das stelle kein großes Problem dar, weil auch hier die MD5-Hashes nicht gesalzen waren und sich die Klartext-Passwörter innerhalb kurzer Zeit ermittel lassen.