RockYou Hacker

Was bisher passiert ist, der Kern der Story

Der Hacker, den wir der Kürze halber Tom nennen (nicht sein richtiger Name), hat über eine SQL-Injection direkten Zugang zur Datenbank von RockYou erhalten, wo er Login-Daten für mehr als 32 Millionen Benutzerkonten gefunden hat. Die Daten waren alle in Klartext und enthielten Drittanbieter-Website-Logins, eine feine Sache! Tom setzte sich erstmal für eine Weile hin, obwohl er ähnliche Hacks in der Vergangenheit geschrieben hat, den Zugang zu Daten der gleichen Art für viele wichtige Standorte in den USA hat. Tom würde nicht verraten, welche Websites er gehackt hat, aber er beteuert, dass er nicht beabsichtigt die ausgegrabenen Daten zur Nutzung oder Veröffentlichung freizugeben.

Aber, stark erbost durch diese Warnung von einem Internet-Security-Unternehmen und Behauptungen von RockYou, es seien nur ein paar wenige Konten betroffen, posted Tom in seinem Blog: So las ich diese Scheiße, so ‘ne F. Firma Imperva hat eine SQLi auf RockYou.com entdeckt. Yeah, richtig, Ihr seid die Besten. Zu spät Jungs, zu spät. Ich habe jedes Konto von dieser Scheiß-Website heruntergeladen. Ihr wart zu langsam, aber was kann ich von Euch erwarten? Es gibt 32.603.388 Kunden. Ziemlich schöne Liste mit Klartext-Passwörtern. Es ist so lahm, und ich bin sicher, dass mehr als die Hälfte davon auch bei MySpace und anderen Websites funktionieren. Lügt eure Kunden nicht an, sonst ich werde alles veröffentlichen.

Wir (zusammen mit einigen unserer Kollegen) wurden auf die Situation via Twitter aufmerksam, und bei TechCrunch wurden zwei Beiträge über den Daten-Skandal geschrieben.

Warum ist das so eine üble Sache? Einer der interessantesten Aspekte der Geschichte ist das Versäumnis von RockYou, Benutzer-Login-Daten angemessen zu schützen. Der Hacker zeigte uns ein Bild mit den letzten Zeilen einer 32.603.388-zeiligen, sieben-spaltigen Datenmenge mit einem Volumen von 276 MB. Alle Daten, die wir sahen, war im Klartext, jeder Grundschüler könnte diese Informationen nutzen, um sich in Konten der Nutzer einzuloggen. Wenn Sie Passwörter für Konten nicht sichern, wenn Sie gehackt werden, was kann passieren? Die verschandeln Ihre Website, Feierabend. sagt Tom. Aber das ist nichts gegen 32 Millionen E-Mails mit Passwörtern. Schätzen Sie mal, wie viele von ihnen ein PayPal-Konto nutzen. Wenn ich jeden überprüfe, und nur 10 Prozent von ihnen haben eins, und ich nehme nur $ 10, ergibt das eine hübsche Summe, nicht wahr?

Der Hacker trifft einen wunden Punkt mit seinem Anschauungsunterricht, und er führt eindeutig RockYou und Konsorten als die Schuldigen vor. Tom, der sagt er sei im Zusammenhang mit seiner Arbeit mit Sicherheitskriterien beschäftigt, ist der Auffassung, es sollte durch Gesetze von den Unternehmen verlangt werden, Benutzerdaten zu verschlüsseln. Er sagt: Sie machen jetzt Jagd auf mich, aber warum? Ich habe nichts falsch gemacht. Die sollten jetzt ins Gefängnis, weil sie alle diese Menschen in Gefahr bringen. Das war nur eine Illustration.

Was können wir alle tun? Tom sagt, eins von drei Portalen, zu denen er Zugang hat, speichert Nutzerdaten als Klar-Text in Datenbanken. Serverbetreiber können Websites von Drittanbietern wie Facebook, Google, OpenID oder OAuth zur Authentifizierung nutzen. sagt er. Warum [!&%/X...] wollen sie die Benutzer-Passwörter? Ich verstehe das nicht. Für Webseiten empfiehlt der Hacker, Hashes mit Salt-oder PCI-DSS zum Schutz der Benutzerdaten einzusetzen. Er sagt auch, daß der Message-Digest Algorithm-5 (MD5) eine unzureichende Lösung ist. Als ein Beispiel dafür lesen Sie diesen Beitrag auf Slashdot. Wenn Sie in MD5 abspeichern ist es wie garnichts … Es ist kein Problem, einen GPU-Cracker, oder besser, ein Botnetz von PS3s zu verwenden. Ich habe drei zu Hause.

Soweit Nutzer betroffen sind, sagt Tom: Die Unternehmen sind für viele Menschen durch die Art und Weise der Speicherung ihrer Daten eine Gefahr. [Benutzer] sollten ihren Verstand zu gebrauchen und ein individuelles und starkes Passwort für jede Seite erzeugen. Er stellt fest, dass Roboform, PassPack und KeePass gute Werkzeuge für die Speicherung und Pflege von Passwörtern sind. Für den Moment, sagt Tom, bleiben die RockYou-Daten unveröffentlicht, um damit seine Handlungen als eine Warnung an die Nutzer und Websites, die Pflege ihrer Daten und Identitäten ernster zu nehmen, dienen zu lassen.

Antworten gefunden (5)

3 Kommentare gefunden

  1. klimaumfragedrei
    Publiziert am 16. Februar 2010 um 1:42 am | Permalink

    Guten Tag

    Obwohl diesmal vielleicht nicht ganz zum Forum passend ,so
    wäre eine Teilnahme an dieser kleinen, kurzen Umfrage toll

    Medien berichten

    dass das vorgelegte Ergebnis zum Klimagipfel eh nicht schlecht ist

    Ist dies auch Ihre Meinung?
    Stimmen Sie ab

    Hier gehts zur Umfrage
    http://micropoll.com/t/KDe2OZBAXw

    Klimagipfel – zum vergessen!!
    Danke

  2. Lindsayraikwarme
    Publiziert am 4. Februar 2010 um 10:47 pm | Permalink

    China and Russia put the blame on some screwed up experiments of US for the earthquake that happened in Haiti.
    Chinese and Russian Military scientists, these reports say, are concurring with Canadian researcher, and former Asia-Pacific Bureau Chief of Forbes Magazine, Benjamin Fulford, who in a very disturbing video released from his Japanese offices to the American public, details how the United States attacked China by the firing of a 90 Million Volt Shockwave from the Americans High Frequency Active Auroral Research Program (HAARP) facilities in Alaska
    If we can recollect a previous news when US blamed Russia for the earthquake in Georgio. What do you guys think? Is it really possible to create an earthquake by humans?
    I came across this article about Haiti Earthquake in some blog it seems very interesting, but conspiracy theories have always been there.

  3. Publiziert am 7. Januar 2010 um 12:40 pm | Permalink

    Hab von RockYou heute (nach 2 Wochen, die WXer!) diese E-Mail erhalten:

    Dear RockYou user,
    As you know, RockYou takes our users privacy very seriously. We take a lot of effort to protect user data from security breaches and attacks.
    Unfortunately, RockYou has very recently learned that it encountered a security breach. As part of this breach, it is possible that someone may have accessed at least your email address and password for the RockYou system. We felt it was important to notify you of this immediately so that you could take any action you feel necessary to protect your privacy.
    As a precaution, we strongly recommend you change any passwords for other online websites that have the same login and password immediately in order to protect your security.
    If you have any questions, please feel free to contact security@rockyou.com. We are sorry for any problems this has caused you.
    The RockYou team

    Heisst in Kurzform so viel wie: Kinders, Eure Sicherheit ist uns wichtig, wir machen schon immer einen Riesenaufwand dafür. So’n Pech aber, wir haben eine kleine Sicherheitslücke übersehen. Vielleicht hat Jemand zumindest auf deinen Usernamen und dein Passwort hier zugegriffen. Wir dachten uns, es wäre wichtig Euch das sofort mitzuteilen, damit ihr alles, was ihr für notwendig erachtet zum Schutz Eurer Privatsphäre tun könnt. Als Vorsichtsmaßnahme empfehlen wir dringend, die gleiche Kombination von Benutzername und Passwort auf allen anderen Webseiten sofort zu ändern. Tut uns leid für den Ärger

    Immerhin haben sie auf "Tom’s" Drohung richtig reagiert, Dank dem edlen Hacker!

2 Link-Referenzen (Trackbacks)

  1. Von Webnews.de am 8. Januar 2010 um 3:17 pm

    Der RockYou Hacker – 32 Millionen Benutzer-Konten mit Passwörtern gehackt!

    Hacker Tom (kein richtiger Name) hat über SQL-Injection von der RockYou-Datenbank Login-Daten für…

  2. [...] Art. Schauen Sie sich die kostenlosen oder preiswerten Passwort-Management-Tools an, die kürzlich durch einen hochkarätigen Hacker empfohlen wurden. Damit können Sie starke, zufällige Passwörter erstellen und sie sicher [...]

Sag es!

Deine E-Mail Adresse bleibt immer verborgen. Pflichtfelder sind mit * markiert

*
*

Comment moderation is enabled. Your comment may take some time to appear.

Improve the web with Nofollow Reciprocity.

XFN Friendly Plagiate dieser Website werden automatisiert erfasst und verfolgt. Blogverzeichnis - Blog Verzeichnis bloggerei.de Bloggeramt.de