Suchen

Über 6 Mio. Passwort-Hashes gestohlen Passwörter zu LinkedIn Accounts gehacked

| Autor / Redakteur: Daniel Müller / Peter Schmitz

LinkedIn, die neben Xing in Deutschland am häufigsten zur geschäftlichen Kontaktpflege genutzte Online Plattform ist Opfer eines Datendiebstahls geworden. Wir zeigen die Gefahren und möglichen Folgend es Hacks.

Mehrere Millionen Passwort-Hashes wurden aktuellen Informationen Zufolge aus dem Business-Netzwerk LinkedIn, sowie den Diensten eHarmony und Last.fm gestohlen. Inzwischen wurden wohl nahezu alle Hashes bereits entschlüsselt.
Mehrere Millionen Passwort-Hashes wurden aktuellen Informationen Zufolge aus dem Business-Netzwerk LinkedIn, sowie den Diensten eHarmony und Last.fm gestohlen. Inzwischen wurden wohl nahezu alle Hashes bereits entschlüsselt.

Ganz geklärt ist derzeit noch nicht, was genau vorgefallen ist. Tatsache ist, dass in einem einschlägigen russischen Forum über 6 Millionen Passworthashes veröffentlicht wurden. Kurz darauf vermeldete LinkedIn über ihren offiziellen Twitter Account die Meldung, dass Sie aktuell der Sache nachgehen. In einem darauf folgenden Eintrag auf dem LinkedIn Blog wird darauf verwiesen, dass die Untersuchungen noch im Gange seien und man aktuell noch nichts offiziell bestätigen kann.

Das Problem mit den Passworthashes

Die Passwörter werden anscheinend bei LinkedIn als SHA1-Hash gespeichert. SHA1 auch Secure Hash Algorithm genannt ist eine kryptologische Hashfunktion, die zur Berechnung eines eindeutigen Prüfwerts genutzt wird. Dies sollte eigentlich ein Zurückführen zum Klartextpasswort nicht leicht machen, jedoch scheint dies Inzwischen nicht mehr der Fall zu sein. Durch die Nutzung von Brute Force oder der Verwendung von Rainbow Tables ist es recht schnell möglich Klartextpasswörter zu ermitteln.

Bildergalerie
Bildergalerie mit 7 Bildern

Brute Force in der Cloud

Nein. Durch die Nutzung von speziellen Grafik Prozessoren (GPU), die massive parallele Prozesse ermöglichen gelingt es nun viel schneller per Brute Force zu einem Ergebnis zu kommen. Zudem kommt noch die Tatsache, dass man sich solcher Hardware per Cloudservice bedienen kann und diese nutzen kann um Hashes in der Cloud berechnen zu lassen. So konnte Thomas Roth für nur 2,10 US Dollar mit einem gemieteten GPU Cluster aus der Amazon Elastic Cloud innerhalb einer Stunde 15 SHA1 Hashes entschlüsseln. Eine andere Möglichkeit ist die Nutzung bestehender kommerzieller oder zum Teil freier Webseiten die das Hashcracking anbieten.

So wurde nun auch schon im Fall der LinkedIn Passworthashes nach nicht einmal 24 Stunden per Twitter vermeldet dass über 3 Mio. Hashes schon geknackt werden konnten, was über 50% der veröffentlichten Passworthashes ausmacht. Laut dieser Meldung war das längste Passwort eine 29 Zeichen lange Passage aus der Bibel.

AKtuell ist noch nicht bekannt, ob die Angreifer auch Zugang zu den Benutzernamen hatten, allerdings deuten bereits erfolgte Spam-Versuche darauf hin, dass den Angreifern inzwischen mehrere Millionen Benutzernamen und entschlüsselte Passwörter vorliegen.

(ID:34103100)