Sprung zum Inhalt / Skip to main content

die chronik der datenpannen

Alle Datenpannen, in denen es um Kennwörter geht

Passwörter aus NvidiaForum

13.07.2012

Der kalifornische Grafikkartenhersteller Nvidia betreibt für seine Kunden ein Forum mit etwa 400.000 angemeldeten Benutzern. Bei einem Einbruch in das System kopieren unbekannte Cracker deren Logindaten. Nach Angaben von Nvidia sind die Passwörter zwar verschlüsselt, es wird jedoch eindringlich empfohlen gleiche Passwörter bei anderen Anbietern zu ändern.

Plugins wie PwdHash, die aus einem Masterpasswort für jede Internetseite ein anderes Passwort generieren gibt es nahezu für jeden Browser.

Kommentar hinzufügen

Über 400.000 Yahoo!-Passwörter veröffentlicht

12.07.2012

Eine Cracker-Gruppe mit dem Namen D33DS Company veröffentlichte 453.491 Klartextpasswörter und die zugehörigen E-Mail-Adressen im Internet. Alle Daten stammen aus dem Yahoo! Contributor Network. Die Kriminellen sollen über eine SQL-Injection an die Daten gelangt sein. In der Auflistung befinden sich nicht nur E-Mail-Adressen von Yahoo!, da die Datenbank bereits älteren Datums ist und einige Accounts durch Zukäufe von Projekten zu Yahoo! kamen.

Kommentar hinzufügen

Android-Fanseite gerackt

12.07.2012

Über eine bereits veröffentlichte Sicherheitslücke drangen Cracker in die Datenbank des Android-Fanforums Phandroid ein. In den rund 1 Mio. Datensätzen sind unter anderem Benutzernamen, E-Mail-Adressen, gehashte Passwörter und die IP-Adresse bei Registrierung des Accounts enthalten. Phandroid vermutet, dass es den Crackern um die E-Mail-Adressen ging, um diese später für Spam zu missbrauchen.

Kommentar hinzufügen

Formspring gecrackt

11.07.2012

Über eine Sicherheitslücke auf einem Entwicklerserver konnten Kriminelle an die Logindaten für einen Datenbankserver von Formspring gelangen. Von dem Datenbankserver konnten die Cracker eine Liste mit Passworthashes kopieren. Formspring ist eine Frage-und-Antwort-Seite mit Sitz in San Francisco.

Die Passwörter sollen mit „Salt” gehasht und deshalb sehr schwer zu knacken sein. Formspring informierte augenblicklich sehr ausführlich über das Datenleck und zwingt alle Nutzer beim nächsten Login ein neues Passwort zu wählen. Von den insgesamt 28 Millionen Nutzern sollen etwa 420.000 unmittelbar von dem Hack betroffen sein.

Kommentar hinzufügen

Zugang zu 10.000 Twitterkonten veröffentlicht

12.06.2012

Mitglieder der Gruppe LulzSec Reborn – die zumindest dem Namen nach Nachfolger der im Jahr 2011 sehr aktiven Crackervereinigung LulzSec sind – haben die Zugangsdaten von rund 10.000 Twitter-Nutzern veröffentlicht. Wie Futurezone berichtet wurden in dem SQL-Dump, sofern im Twitter-Profil verfügbar, auch Klarnamen, Wohnort, Selbstbeschreibung und Avatar der Microblogger veröffentlicht. Diese Informationen dürften allerdings in der Regel ohnehin schon bekannt gewesen sein, sofern der Twitter-Account nicht im „privaten Modus“ betrieben wurde.

Die veröffentlichten Zugangsdaten bestehen nicht wie üblich aus Login und Passwort, sondern aus einem Sicherheitstoken, mit dem Twitter erlaubt bestimmten Anwendungen auf ein Profil zuzugreifen. Diese Sicherheitstoken kann man aber für ungültig erklären, indem man in den Profileinstellungen allen Anwendungen die Zugriffsberechtigung entzieht. Die Datenbank stammt nicht direkt von Twitter, sondern von TweetGif, einem Bilderdienst.

Kommentar hinzufügen

League of Legends: Spieler-Accounts gehackt

09.06.2012

Wie die Entwickler des Onlinestrategiespiels League of Legends mitteilten, konnten Cracker Zugriff auf die Zugangsdaten einiger Spieler erlangen. Die Daten umfassen unter anderem Emailadresse, verschlüsseltes Passwort, Geburtsdatum und Vor- und Nachname, sowie die Sicherheitsfrage und die dazu gehörige Antwort in verschlüsselter Form. Über die Art und Sicherheit der Verschlüsselung wurden keine Angaben gemacht. Zahlungs- und Rechnungsdaten sollen nicht betroffen sein.

Die Mitteilung von Riot Games lässt vermuten, dass bereits einige Zeit ins Land gegangen ist, seit die Cracker am Werk waren. Wann die Daten genau gestohlen wurden, ist nicht veröffentlicht. Von den derzeit registrierten 32 Millionen Spielern sind vermutlich nur einige europäische Nutzer von dem Vorfall betroffen.

Kommentar hinzufügen

Passwortdiebstahl bei last.fm

07.06.2012

Unbekannte Angreifer konnten vom Musik-Dienst last.fm rund 2,5 Millionen Passwörter entwenden. Laut heise sind die Passwörter nur schwach verschlüsselt, so dass die Berechnung des Klartext-Passwortes kein großer Aufwand ist. Dem Verlag liegen 2.500.000 Mio Hashes vor, die – in Stichproben getestet – auf last.fm Rückschlüsse zulassen. Die Kennwörter sind „ungesalzene MD5-Hashes”.

Die Nutzer des Netzwerkes sind aufgefordert, ihre Kennwörter zu ändern.

Kommentar hinzufügen

eHarmony-Passwortliste

06.06.2012

Wie die LATimes berichtet wurden auch Passwörter der Singlebörse eHarmony veröffentlicht. Vermutlich stammen die 1,5 Millionen Datensätze vom selben Hacker wie die von LinkedIn. Die meisten der Passworthashes wurden in kurzer Zeit geknackt und die zugehörigen Passwörter veröffentlicht. Die Dating-Platform hat die betroffenen Passwörter zurückgesetzt und die Benutzer informiert.

Passwörter sollten deshalb ausreichend lang sein, regelmäßig geändert und sicher verwahrt werden. Einige Tipps dafür hat Bruce Schneier.

eHarmony wird vorallem in den USA, Australien, Kanada, dem Vereinigten Königreich und Brasilien genutzt.

Kommentar hinzufügen

LinkedIn-Passwortliste

06.06.2012

Wie Heise berichtet sind auf einer russischen Internetseite rund 6,5 Mio. Passwörter aufgetaucht. Diese gehören zu Nutzeraccounts des sozialen Netzwerks LinkedIn. Die Passwörter wurden in Form von SHA1-Hashes ohne Salt veröffentlicht und sind somit leicht knackbar. Interessanterweise enthält die Liste nur Passwörter. Es wird aber davon ausgegangen, dass dem Autor der Liste auch die Loginnamen vorliegen.

Ob es sich um ein Leck bei LinkedIn handelt oder ob die Passwörter durch Pishing-Angriffe erlangt wurden ist nicht abschließend geklärt. Fakt ist nur, dass jetzt zahlreiche Phising-Webseiten auftauchen, die LinkedIn-Benutzer nach ihrem Passwort fragen, um zu überprüfen, ob das Passwort von dem Vorfall betroffen ist.

Kommentar hinzufügen

Passwortknacker statt Panzerknacker

05.06.2012

Auch die Interessierten des Lustigen Taschenbuches müssen damit rechnen, daß ihre Nutzerdaten von unbefugten eingelesen werden konnten. Der Egmont Ehapa Verlag warnt seine 24.000 Nutzer, möglichst vorsorglich Kenntworter zu wechseln. Zudem sollen die persönlichen Angaben in Umlauf sein.

Ob die Indizen für diese Warnung tatsächlich auf eine Datenpanne zurückführen, bleibt damit noch offen.

Kommentar hinzufügen

1 2 3 4 5 6 … 9 10 11