Daten

LinkedIn wurde gehackt: 117 Millionen Accounts betroffen

Für umgerechnet rund 2.000 Euro kann man im Darknet momentan sensible Daten von 117 Millionen des weltgrößten Karriere-Netzwerks der Welt kaufen.

von Lorenzo Franceschi-Bicchierai
18 Mai 2016, 3:50pm

Foto: Imago

Ein Hacker versucht gerade, die Kontoinformationen von 117 Millionen LinkedIn-Nutzern—inklusive E-Mail-Adressen und Passwörtern—zu verkaufen.

Der Hacker namens „Peace" erklärte gegenüber Motherboard, dass die Daten während des Angriffs auf das soziale Netzwerk im Jahr 2012 gestohlen wurden. Die damalige Attacke ist nun aber schlimmer als befürchtet, denn damals wurden lediglich 6,5 Millionen verschlüsselte Passwörter veröffentlicht. LinkedIn hat allerdings nie detailliert erklärt, wie viele Nutzer von dem damaligen Angriff genau betroffen waren.

Wie sich nun herausstellt, ist es tatsächlich viel schlimmer.

Peace verkauft die Daten auf dem illegalen Darknet-Schwarzmarkt The Real Deal für 5 Bitcoin (umgerechnet knapp 2.000 Euro). Die kommerzielle Suchmaschine für gehackte Daten LeakedSource behauptet ebenfalls, über die Daten zu verfügen. Laut Angaben von Peace als auch einer der Leute hinter LeakedSource, stecken in dem gehackten Datensatz über 167 Millionen Accounts. Davon sind 117 Millionen Konten mit E-Mail-Adressen und verschlüsselten Passwörtern aufgelistet.

„Das ganze kommt jetzt erst an die Oberfläche. Die Leute haben es damals nicht sehr ernst genommen, weil es kaum bekannt war", so einer der Betreiber von LeakedSource. „Soweit ich weiß, blieb der Datensatz innerhalb einer kleinen Gruppe von Russen."

Bildunterschrift: Ein Screenshot des Angebots auf The Real Deal

LeakedSource hat Motherboard ein Sample mit fast einer Million Anmeldedaten zur Verfügung gestellt, einschließlich E-Mail-Adressen, gehashten Passwörtern und den dazugehörigen gehackten Passwörtern. Die Passwörter waren ursprünglich verschlüsselt oder mit dem sehr alten und anfälligen SHA1-Algorithmus ohne Salt-Funktion gehasht. Damit wird eine Reihe zufälliger Zahlen an den Hash gefügt, die die Entschlüsselung der Daten eigentlich erschweren soll.

Einer der Betreiber von LeakedSource erklärte Motherboard gegenüber in einem Chat allerdings, dass sie bislang bereits „90 Prozent der Passwörter in 72 Stunden geknackt hätten."

Internetsicherheitsexperte Troy Hunt, dem die Website Have I been Pwned? gehört, kontaktierte sich bei einigen Opfern des Leaks. Zwei davon bestätigten ihm, dass sie einen Account bei LinkedIn hatten und dass das Passwort, über das er verfügt, jenem entsprach war, was sie zum Zeitpunkt des Hacks benutzt hatten. Motherboard kann außerdem die Richtigkeit der Daten einer dritten betroffenen Person bestätigen.

Eine dieser betroffenen Personen sagte Motherboard, dass das Passwort aus dem Sample noch aktuell war und sie es sofort, nachdem sich Troy Hunt gemeldet hatte, um sie über den Hackerangriff zu informieren, geändert habe.

„Es fühlt sich so an, als ob jemand in deine Privatsphäre eindringen kann, wann immer er es will—und du weißt es nicht mal", so die betroffene Person, die anonym bleiben möchte.

Auf Nachfrage von Motherboard teilte uns LinkedIn-Pressesprecher Hani Durzy gestern mit, dass sich das Sicherheitsteam des Unternehmens die Vorfälle angeschaut habe, aber zu diesem Zeitpunkt nicht bestätigen könne, ob die Daten echt seien oder nicht. Nicht von allen 2012 im Internet geleakten 6,5 Millionen gestohlenen Datensätzen seien auch die Passwörter geknackt worden. „Wir wissen nicht, wie viele Daten gestohlen wurden", sagte mir Hurzy am Telefon.

Die Lektion von der Geschicht gilt für LinkedIn genauso wie vor vier Jahren: Passwörter sollten nicht auf unsichere Art und Weise gespeichert werden. Für alle LinkedIn-User gilt: Wenn du dein Passwort nicht schon vor vier Jahren geändert hast, dann tue es jetzt noch mal, besonders wenn du das Passwort auch für andere Websites nutzt. Und bitte höre auf, Passwörter mehrmals zu benutzen.

„Weil Passwörter mehrmals verwendet werden, können sich die Hacker auch in andere Accounts einloggen", so Sicherheitsexperte Hunt. Eine weitere Lektion ist, dass manchmal sogar vier Jahre alte gehackte Daten wertvoll sein können, gerade wenn die Passwörter immer noch gültig sein können.