RockYou Hacker

Was bisher passiert ist, der Kern der Story

Der Hacker, den wir der Kürze halber Tom nennen (nicht sein richtiger Name), hat über eine SQL-Injection direkten Zugang zur Datenbank von RockYou erhalten, wo er Login-Daten für mehr als 32 Millionen Benutzerkonten gefunden hat. Die Daten waren alle in Klartext und enthielten Drittanbieter-Website-Logins, eine feine Sache! Tom setzte sich erstmal für eine Weile hin, obwohl er ähnliche Hacks in der Vergangenheit geschrieben hat, den Zugang zu Daten der gleichen Art für viele wichtige Standorte in den USA hat. Tom würde nicht verraten, welche Websites er gehackt hat, aber er beteuert, dass er nicht beabsichtigt die ausgegrabenen Daten zur Nutzung oder Veröffentlichung freizugeben.

Aber, stark erbost durch diese Warnung von einem Internet-Security-Unternehmen und Behauptungen von RockYou, es seien nur ein paar wenige Konten betroffen, posted Tom in seinem Blog: So las ich diese Scheiße, so ‘ne F. Firma Imperva hat eine SQLi auf RockYou.com entdeckt. Yeah, richtig, Ihr seid die Besten. Zu spät Jungs, zu spät. Ich habe jedes Konto von dieser Scheiß-Website heruntergeladen. Ihr wart zu langsam, aber was kann ich von Euch erwarten? Es gibt 32.603.388 Kunden. Ziemlich schöne Liste mit Klartext-Passwörtern. Es ist so lahm, und ich bin sicher, dass mehr als die Hälfte davon auch bei MySpace und anderen Websites funktionieren. Lügt eure Kunden nicht an, sonst ich werde alles veröffentlichen.

Wir (zusammen mit einigen unserer Kollegen) wurden auf die Situation via Twitter aufmerksam, und bei TechCrunch wurden zwei Beiträge über den Daten-Skandal geschrieben.

Warum ist das so eine üble Sache? Einer der interessantesten Aspekte der Geschichte ist das Versäumnis von RockYou, Benutzer-Login-Daten angemessen zu schützen. Der Hacker zeigte uns ein Bild mit den letzten Zeilen einer 32.603.388-zeiligen, sieben-spaltigen Datenmenge mit einem Volumen von 276 MB. Alle Daten, die wir sahen, war im Klartext, jeder Grundschüler könnte diese Informationen nutzen, um sich in Konten der Nutzer einzuloggen. Wenn Sie Passwörter für Konten nicht sichern, wenn Sie gehackt werden, was kann passieren? Die verschandeln Ihre Website, Feierabend. sagt Tom. Aber das ist nichts gegen 32 Millionen E-Mails mit Passwörtern. Schätzen Sie mal, wie viele von ihnen ein PayPal-Konto nutzen. Wenn ich jeden überprüfe, und nur 10 Prozent von ihnen haben eins, und ich nehme nur $ 10, ergibt das eine hübsche Summe, nicht wahr?

Der Hacker trifft einen wunden Punkt mit seinem Anschauungsunterricht, und er führt eindeutig RockYou und Konsorten als die Schuldigen vor. Tom, der sagt er sei im Zusammenhang mit seiner Arbeit mit Sicherheitskriterien beschäftigt, ist der Auffassung, es sollte durch Gesetze von den Unternehmen verlangt werden, Benutzerdaten zu verschlüsseln. Er sagt: Sie machen jetzt Jagd auf mich, aber warum? Ich habe nichts falsch gemacht. Die sollten jetzt ins Gefängnis, weil sie alle diese Menschen in Gefahr bringen. Das war nur eine Illustration.

Was können wir alle tun? Tom sagt, eins von drei Portalen, zu denen er Zugang hat, speichert Nutzerdaten als Klar-Text in Datenbanken. Serverbetreiber können Websites von Drittanbietern wie Facebook, Google, OpenID oder OAuth zur Authentifizierung nutzen. sagt er. Warum [!&%/X...] wollen sie die Benutzer-Passwörter? Ich verstehe das nicht. Für Webseiten empfiehlt der Hacker, Hashes mit Salt-oder PCI-DSS zum Schutz der Benutzerdaten einzusetzen. Er sagt auch, daß der Message-Digest Algorithm-5 (MD5) eine unzureichende Lösung ist. Als ein Beispiel dafür lesen Sie diesen Beitrag auf Slashdot. Wenn Sie in MD5 abspeichern ist es wie garnichts … Es ist kein Problem, einen GPU-Cracker, oder besser, ein Botnetz von PS3s zu verwenden. Ich habe drei zu Hause.

Soweit Nutzer betroffen sind, sagt Tom: Die Unternehmen sind für viele Menschen durch die Art und Weise der Speicherung ihrer Daten eine Gefahr. [Benutzer] sollten ihren Verstand zu gebrauchen und ein individuelles und starkes Passwort für jede Seite erzeugen. Er stellt fest, dass Roboform, PassPack und KeePass gute Werkzeuge für die Speicherung und Pflege von Passwörtern sind. Für den Moment, sagt Tom, bleiben die RockYou-Daten unveröffentlicht, um damit seine Handlungen als eine Warnung an die Nutzer und Websites, die Pflege ihrer Daten und Identitäten ernster zu nehmen, dienen zu lassen.

9 Kommentare gefunden zu:
RockYou Hacker

  1. Pingback: Kleine Web-Tipps, zu Ihrem Glueck und Erfolg in 2010 | Blog "Durch schmutzige Strassen"

  2. jazzvox sagt:
    7. Januar 2010 at 12:40 pm

    Hab von RockYou heute (nach 2 Wochen, die WXer!) diese E-Mail erhalten:

    Dear RockYou user,
    As you know, RockYou takes our users privacy very seriously. We take a lot of effort to protect user data from security breaches and attacks.
    Unfortunately, RockYou has very recently learned that it encountered a security breach. As part of this breach, it is possible that someone may have accessed at least your email address and password for the RockYou system. We felt it was important to notify you of this immediately so that you could take any action you feel necessary to protect your privacy.
    As a precaution, we strongly recommend you change any passwords for other online websites that have the same login and password immediately in order to protect your security.
    If you have any questions, please feel free to contact security@rockyou.com. We are sorry for any problems this has caused you.
    The RockYou team

    Heisst in Kurzform so viel wie: Kinders, Eure Sicherheit ist uns wichtig, wir machen schon immer einen Riesenaufwand dafür. So’n Pech aber, wir haben eine kleine Sicherheitslücke übersehen. Vielleicht hat Jemand zumindest auf deinen Usernamen und dein Passwort hier zugegriffen. Wir dachten uns, es wäre wichtig Euch das sofort mitzuteilen, damit ihr alles, was ihr für notwendig erachtet zum Schutz Eurer Privatsphäre tun könnt. Als Vorsichtsmaßnahme empfehlen wir dringend, die gleiche Kombination von Benutzername und Passwort auf allen anderen Webseiten sofort zu ändern. Tut uns leid für den Ärger

    Immerhin haben sie auf "Tom’s" Drohung richtig reagiert, Dank dem edlen Hacker!

    Antworten

  3. Pingback: Webnews.de

  4. Lindsayraikwarme sagt:
    4. Februar 2010 at 10:47 pm

    China and Russia put the blame on some screwed up experiments of US for the earthquake that happened in Haiti.
    Chinese and Russian Military scientists, these reports say, are concurring with Canadian researcher, and former Asia-Pacific Bureau Chief of Forbes Magazine, Benjamin Fulford, who in a very disturbing video released from his Japanese offices to the American public, details how the United States attacked China by the firing of a 90 Million Volt Shockwave from the Americans High Frequency Active Auroral Research Program (HAARP) facilities in Alaska
    If we can recollect a previous news when US blamed Russia for the earthquake in Georgio. What do you guys think? Is it really possible to create an earthquake by humans?
    I came across this article about Haiti Earthquake in some blog it seems very interesting, but conspiracy theories have always been there.

    Antworten
  5. klimaumfragedrei sagt:
    16. Februar 2010 at 1:42 am

    Guten Tag
    Obwohl diesmal vielleicht nicht ganz zum Forum passend, so wäre eine Teilnahme an dieser kleinen, kurzen Umfrage toll. Medien berichten dass das vorgelegte Ergebnis zum Klimagipfel eh nicht schlecht ist.

    Ist dies auch Ihre Meinung? Stimmen Sie ab. Hier gehts zur Umfrage
    http://micropoll.com/t/KDe2OZBAXw
    Klimagipfel – zum vergessen!!
    Danke

    Antworten
  6. asydaybog sagt:
    6. März 2010 at 1:39 am

    I do think this is a most incredible website for proclaiming great wonders of Our God!

    Antworten
  7. Electronics sagt:
    6. Mai 2010 at 5:44 pm

    Don’t implore yourself what the world needs; appeal to yourself what makes you reprimand alive. And then begin and do that. Because what the everybody needs is people who experience do alive.

    Antworten
  8. Agnes STEWART sagt:
    22. Mai 2010 at 11:44 am

    Indeed great blog you have here. It’d be just great to read more concerning that topic. Thnx for giving such information.

    Antworten
  9. Schnurlose Telefone sagt:
    21. August 2010 at 4:04 am

    the valuable information u provided do help our team’s investigation for our group, thanks.

    Antworten

Schreib eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Kommentare werden moderiert. Alle Antworten werden von der Redaktion vor der Freigabe überprüft. Spam und Kommentare mit Phrasen wie Tolle Seite.. werden automatisch gelöscht. Wir bedanken uns herzlich für alle themenbezogenen Beiträge, interessante Links und sinnvolle Hinweise sind ebenfalls immer willkommen.

 

⇑ Nach oben