Derselbe Hacker, der letzte Woche die Daten von mehr als 164 Millionen LinkedIn-Usern zum Verkauf angeboten hat, behauptet jetzt, im Besitz von 360 Millionen Email-Adressen und den dazugehörigen Passwörtern von MySpace-Mitgliedern zu sein. Sollte das stimmen, würde es sich um eines der größten Passwörter-Leaks der Geschichte handeln.Es ist nicht bekannt, wann genau die MySpace-Daten geklaut wurden. Sowohl der Hacker, der nur unter dem Pseudonym Peace bekannt ist, als auch einer der Betreiber von LeakedSource, eines entgeltlichen Dienstes für die Suche nach gehackten Daten, der angeblich auch in Besitz der Daten ist, sagten, dass es sich um einen vergangenen, nicht gemeldeten Datendiebstahl handele.
Anzeige
Weder Peace noch LeakedSource stellten uns aber einen Ausschnitt der gehackten Datensätze zur Verfügung. Motherboard gab deswegen die E-Mail-Adressen von drei Mitarbeitern und zwei Freunden, die mal einen Account auf MySpace hatten, an LeakedSource, damit diese überprüfen konnten, ob die gehackten Daten echt sind. In allen fünf Fällen konnte LeakedSource uns tatsächlich die entsprechenden Passwörter zusenden.Laut LeakedSource, das letzten Freitag in einem Blogeintrag über das Datenleck berichtet hatte, umfassen die Datensätze 427.484.128 Passwörter und 360.213.024 E-Mails. Jeder Eintrag des gehackten Datensatzes soll mit einer „E-Mail-Adresse, einem Benutzernamen, ein und in manchen Fällen sogar zwei Passwörtern verknüpft sein", so die Information auf der Seite.„Von den 360 Millionen Accounts war bei 111.341.258 Millionen auch der Benutzername, und bei 68.493.651 Millionen ein zweites Passwort enthalten", schrieb LeakedSource. Abonnenten des Dienstes erhalten für einen Betrag zwischen 2 Dollar pro Tag bis zu 265 Dollar pro Jahr Zugang zu angeblich 1,6 Milliarden gehackten oder geleakten Datensätzen.LeakedSource erklärte, dass die Daten ihnen von jemandem bereitgestellt wurden, der online unter dem Alias Tessa88 unterwegs sei. In einem Interview mit Motherboard sagte ein Betreiber der Seite jedoch, dass LeakedSource selbst nichts über den echten Ursprung des Hacks wisse. Auch ihnen sei weder bekannt, wer MySpace gehackt, noch wer die Daten „die ganze Zeit lang" aufbewahrt hat oder wann das Unternehmen eigentlich gehackt wurde. Es wäre aber klar gewesen, dass die Daten früher oder später an die Öffentlichkeit gelangen würden, so der Betreiber.
Anzeige
Bislang hat MySpace noch auf keine unserer Anfragen reagiert.
Die Passwörter waren ursprünglich mit einem SHA1-Algorithmus gehasht, der aber alt und laut LeakedSource leicht zu knacken ist. Schlimmer aber ist, dass MySpace die Passwörter ohne Salt-Funktion gehasht hat. Mit dieser wird eine Reihe zufälliger Zahlen an den Hash gefügt, die die Entschlüsselung der Daten eigentlich erschweren sollen.Daher sagte mir der Betreiber von LeakedSource auch, er rechne damit, dass bis Ende des Monats 98 oder 99 Prozent der Datensätze gecrackt werden können. Er gab aber nicht preis, wie viele Passwörter bereits gecrackt wurden.Die Daten der Benutzer sind also immer noch gefährdet, selbst wenn deren Accounts längst aufgegeben wurden oder inaktiv sind. Diese könnten nämlich persönliche Daten enthalten, die für andere Angriffe genutzt werden könnten. Ihr solltet also auf jeden Fall euer Passwort ändern, falls ihr noch einen MySpace-Account habt und das gleiche Passwort auch für andere, wichtigere Accounts nutzt. Und bitte nutzt bei der Erstellung des neuen Passworts einen Passwort-Manager wie LastPass oder 1Password, der sich eure komplizierten aber sicheren Passwörter für alle unterschiedlichen Seiten merkt und euch somit beim sicheren Surfen hilft.Am Freitag Nachmittag stellte der als Peace bekannte Hacker die von MySpace gehackten Daten zum Verkauf auf der Darknet-Seite The Real Deal ein. Peace will die geklauten Passwörter und E-Mails für 6 Bitcoin (etwa 2.800 US-Dollar) verkaufen.„Ich werde die Liste verkaufen, bevor irgendwelche Idioten damit beginnen werden, sie zu verbreiten", schrieb mir Peace in einem Online-Chat.
Ein Screenshot der zum Verkauf gestellten Liste der gehackten MySpace Datensätze.
Lass dir das Beste von VICE jede Woche per Mail schicken!
Indem du den VICE-Newsletter abonnierst, erklärst du dich einverstanden, elektronische Mitteilungen von VICE zu erhalten, die Werbung oder gesponserte Inhalte enthalten können.
Die Passwörter waren ursprünglich mit einem SHA1-Algorithmus gehasht, der aber alt und laut LeakedSource leicht zu knacken ist. Schlimmer aber ist, dass MySpace die Passwörter ohne Salt-Funktion gehasht hat. Mit dieser wird eine Reihe zufälliger Zahlen an den Hash gefügt, die die Entschlüsselung der Daten eigentlich erschweren sollen.Daher sagte mir der Betreiber von LeakedSource auch, er rechne damit, dass bis Ende des Monats 98 oder 99 Prozent der Datensätze gecrackt werden können. Er gab aber nicht preis, wie viele Passwörter bereits gecrackt wurden.Die Daten der Benutzer sind also immer noch gefährdet, selbst wenn deren Accounts längst aufgegeben wurden oder inaktiv sind. Diese könnten nämlich persönliche Daten enthalten, die für andere Angriffe genutzt werden könnten. Ihr solltet also auf jeden Fall euer Passwort ändern, falls ihr noch einen MySpace-Account habt und das gleiche Passwort auch für andere, wichtigere Accounts nutzt. Und bitte nutzt bei der Erstellung des neuen Passworts einen Passwort-Manager wie LastPass oder 1Password, der sich eure komplizierten aber sicheren Passwörter für alle unterschiedlichen Seiten merkt und euch somit beim sicheren Surfen hilft.Am Freitag Nachmittag stellte der als Peace bekannte Hacker die von MySpace gehackten Daten zum Verkauf auf der Darknet-Seite The Real Deal ein. Peace will die geklauten Passwörter und E-Mails für 6 Bitcoin (etwa 2.800 US-Dollar) verkaufen.„Ich werde die Liste verkaufen, bevor irgendwelche Idioten damit beginnen werden, sie zu verbreiten", schrieb mir Peace in einem Online-Chat.