Passwörter von eHarmony und LinkedIn entwendet

Inzwischen bestätigten auch die Betreiber der Dating-Plattform 'eHarmony', dass bisher unbekannte Angreifer Passwort-Hashes von angemeldeten Nutzern gestohlen haben. Wie viele Mitglieder von diesem Zwischenfall betroffen sind, wurde bisher nicht beziffert. Man spricht von einem kleinen Nutzerteil, der davon betroffen ist.

Aktuellen Einschätzungen zufolge wurden die Passwort-Hashes von über 1,5 Millionen eHarmony-Nutzern veröffentlicht. Auf die Nutzung des so genannten Saltings, was für mehr Sicherheit sorgt, haben die Köpfe hinter der Dating-Webseite augenscheinlich verzichtet.

Auch die LinkedIn-Betreiber haben den erfolgreichen Angriff auf die hauseigene Nutzerdatenbank bestätigt. Die Rede ist von einigen entwendeten Passwörtern, die mit SHA-1 geschützt wurden. Es ist davon auszugehen, dass auch die Benutzernamen kopiert wurden. Ab sofort möchte man im Hinblick auf die Passwortspeicherung nur noch auf Hashes mit Salt setzen.

Veröffentlicht wurden mehr als 6,5 Millionen LinkedIn-Passwörter in einem russischen Untergrund-Forum. Mehr als 60 Prozent der Kennwörter konnte man mittlerweile erfolgreich entschlüsseln. Dies gilt als besonders kritisch, da zahlreiche Internetnutzer die gewählten Passwörter auch bei anderen Diensten einsetzen. Die betroffenen Konten hat LinkedIn bereits gesperrt.

Wie sich die Angreifer einen Zugriff auf die Nutzerdaten verschaffen konnten, teilte keines der beiden Unternehmen bisher näher mit. Sowohl LinkedIn, als auch eHarmony bedauern diesen Zwischenfall.

Die 'New York Times' konnte in Erfahrung bringen, dass die ersten entwendeten Zugangsdaten von LinkedIn schon dazu verwendet wurden, um Phishing-Mails zu versenden. Darin werden die Nutzer beispielsweise dazu aufgefordert, auf einen Link zu klicken und somit ihre E-Mail-Adresse zu bestätigen.