Passwortdaten von Flirtlife.de kompromittiert
Heise hat den Bericht über die Kompromittierung von Flirtlife.de in der Mailingliste Full Disclosure aufgegriffen und ein paar interessante Statistiken herausgefiltert.
Die Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website wurde Sonntagabend veröffentlicht, bereits heute morgen seien neue Passwoörter vergeben worden. Der Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, es handle sich um veraltete Daten, da die Hälfte der Nutzer nicht mehr existierten. Die Antwort auf die Frage wie die Passwörter im Klartext gelesen werden konnten bleibt er aber schuldig. Zumal grundsätzlich nur MD5 Hashes gespeichert würden. Er vermutet es handle sich daher nicht um einen Angriff von außen, sondern von innen. Warum im Unternehmen die Passwörter dann im Klartext benötigt werden erfährt der Leser nicht. Es kann jedoch sein, dass mit bekanntne Techniken die Datenbank ausgelesen wurde und dann die MD5 Hashes geknackt wurden. Dafür gibt es seit einiger Zeit verschiedene Methoden und seit zwei Monaten sogar einen Algorithmus, der in unter einer Minute Kollisionen erzeugt.
Es ist schlimm wie wenig Sorgfalt auf die Verwaltung von Nutzerdaten gelegt wird. Ich hatte vor kurzem einen ähnlichen Fall. Dort wurden über 3000 hochsensible Adress- und Kontaktdaten sowie persönliche Informationen zentral verwaltet. Die Passwörter standen im Klartext in der Datenbank und konnten mittels simpler Kommentar SQL Incjection ausgelesen werden. Die Wahl der Passwörter war auch dort auffällig leichtsinnig. Und damit zur Statistik von Heise:
Die zehn häufigsten Passwörter:
| 123456 | 1375 |
| ficken | 404 |
| 12345 | 367 |
| hallo | 362 |
| 123456789 | 260 |
| schatz | 253 |
| 12345678 | 215 |
| daniel | 215 |
| askim | 184 |
| nadine | 177 |
| 1234 | 176 |
| passwort | 173 |
| sommer | 159 |
| baby | 159 |
| frankfurt | 159 |
Ein Loginversuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg. Nur 40 Prozent der Passwörter tauchen nur einmal auf und sind zum Großteil zufällig. Im Umkehrschluss bedeutet das 60 Prozent würden einer simplen Wörterbuchattacke wohl nicht standhalten. Und eine Datingwebsite wird einen ziemlich guten Querschnitt der erwachsenen Bevölkerung Deutschlands darstellen. Aufklärung tut not!
Add comment Mai 22nd, 2006