Was bisher passiert ist, der Kern der Story
Der Hacker, den wir der Kürze halber Tom nennen (nicht sein richtiger Name), hat über eine SQL-Injection direkten Zugang zur Datenbank von RockYou erhalten, wo er Login-Daten für mehr als 32 Millionen Benutzerkonten gefunden hat. Die Daten waren alle in Klartext und enthielten Drittanbieter-Website-Logins, eine feine Sache! Tom setzte sich erstmal für eine Weile hin, obwohl er ähnliche Hacks in der Vergangenheit geschrieben hat, den Zugang zu Daten der gleichen Art für viele wichtige Standorte in den USA hat. Tom würde nicht verraten, welche Websites er gehackt hat, aber er beteuert, dass er nicht beabsichtigt die ausgegrabenen Daten zur Nutzung oder Veröffentlichung freizugeben.
Aber, stark erbost durch diese Warnung von einem Internet-Security-Unternehmen und Behauptungen von RockYou, es seien nur ein paar wenige Konten betroffen, posted Tom in seinem Blog: So las ich diese Scheiße, so ‘ne F. Firma Imperva hat eine SQLi auf RockYou.com entdeckt. Yeah, richtig, Ihr seid die Besten. Zu spät Jungs, zu spät. Ich habe jedes Konto von dieser Scheiß-Website heruntergeladen. Ihr wart zu langsam, aber was kann ich von Euch erwarten? Es gibt 32.603.388 Kunden. Ziemlich schöne Liste mit Klartext-Passwörtern. Es ist so lahm, und ich bin sicher, dass mehr als die Hälfte davon auch bei MySpace und anderen Websites funktionieren. Lügt eure Kunden nicht an, sonst ich werde alles veröffentlichen
.
Wir (zusammen mit einigen unserer Kollegen) wurden auf die Situation via Twitter aufmerksam, und bei TechCrunch wurden zwei Beiträge über den Daten-Skandal geschrieben.
Warum ist das so eine üble Sache? Einer der interessantesten Aspekte der Geschichte ist das Versäumnis von RockYou, Benutzer-Login-Daten angemessen zu schützen. Der Hacker zeigte uns ein Bild mit den letzten Zeilen einer 32.603.388-zeiligen, sieben-spaltigen Datenmenge mit einem Volumen von 276 MB. Alle Daten, die wir sahen, war im Klartext, jeder Grundschüler könnte diese Informationen nutzen, um sich in Konten der Nutzer einzuloggen. Wenn Sie Passwörter für Konten nicht sichern, wenn Sie gehackt werden, was kann passieren? Die verschandeln Ihre Website, Feierabend
. sagt Tom. Aber das ist nichts gegen 32 Millionen E-Mails mit Passwörtern. Schätzen Sie mal, wie viele von ihnen ein PayPal-Konto nutzen. Wenn ich jeden überprüfe, und nur 10 Prozent von ihnen haben eins, und ich nehme nur $ 10, ergibt das eine hübsche Summe, nicht wahr?
Der Hacker trifft einen wunden Punkt mit seinem Anschauungsunterricht, und er führt eindeutig RockYou und Konsorten als die Schuldigen vor. Tom, der sagt er sei im Zusammenhang mit seiner Arbeit mit Sicherheitskriterien beschäftigt, ist der Auffassung, es sollte durch Gesetze von den Unternehmen verlangt werden, Benutzerdaten zu verschlüsseln. Er sagt: Sie machen jetzt Jagd auf mich, aber warum? Ich habe nichts falsch gemacht. Die sollten jetzt ins Gefängnis, weil sie alle diese Menschen in Gefahr bringen. Das war nur eine Illustration.
Was können wir alle tun? Tom sagt, eins von drei Portalen, zu denen er Zugang hat, speichert Nutzerdaten als Klar-Text in Datenbanken. Serverbetreiber können Websites von Drittanbietern wie Facebook, Google, OpenID oder OAuth zur Authentifizierung nutzen.
sagt er. Warum [!&%/X...] wollen sie die Benutzer-Passwörter? Ich verstehe das nicht.
Für Webseiten empfiehlt der Hacker, Hashes mit Salt-oder PCI-DSS zum Schutz der Benutzerdaten einzusetzen. Er sagt auch, daß der Message-Digest Algorithm-5 (MD5) eine unzureichende Lösung ist. Als ein Beispiel dafür lesen Sie diesen Beitrag auf Slashdot. Wenn Sie in MD5 abspeichern ist es wie garnichts … Es ist kein Problem, einen GPU-Cracker, oder besser, ein Botnetz von PS3s zu verwenden. Ich habe drei zu Hause.
Soweit Nutzer betroffen sind, sagt Tom: Die Unternehmen sind für viele Menschen durch die Art und Weise der Speicherung ihrer Daten eine Gefahr. [Benutzer] sollten ihren Verstand zu gebrauchen und ein individuelles und starkes Passwort für jede Seite erzeugen.
Er stellt fest, dass Roboform, PassPack und KeePass gute Werkzeuge für die Speicherung und Pflege von Passwörtern sind. Für den Moment, sagt Tom, bleiben die RockYou-Daten unveröffentlicht, um damit seine Handlungen als eine Warnung an die Nutzer und Websites, die Pflege ihrer Daten und Identitäten ernster zu nehmen, dienen zu lassen.
3 Kommentare gefunden
Guten Tag
Obwohl diesmal vielleicht nicht ganz zum Forum passend ,so
wäre eine Teilnahme an dieser kleinen, kurzen Umfrage toll
Medien berichten
dass das vorgelegte Ergebnis zum Klimagipfel eh nicht schlecht ist
Ist dies auch Ihre Meinung?
Stimmen Sie ab
Hier gehts zur Umfrage
http://micropoll.com/t/KDe2OZBAXw
Klimagipfel – zum vergessen!!
Danke
China and Russia put the blame on some screwed up experiments of US for the earthquake that happened in Haiti.
Chinese and Russian Military scientists, these reports say, are concurring with Canadian researcher, and former Asia-Pacific Bureau Chief of Forbes Magazine, Benjamin Fulford, who in a very disturbing video released from his Japanese offices to the American public, details how the United States attacked China by the firing of a 90 Million Volt Shockwave from the Americans High Frequency Active Auroral Research Program (HAARP) facilities in Alaska
If we can recollect a previous news when US blamed Russia for the earthquake in Georgio. What do you guys think? Is it really possible to create an earthquake by humans?
I came across this article about Haiti Earthquake in some blog it seems very interesting, but conspiracy theories have always been there.
Hab von RockYou heute (nach 2 Wochen, die WXer!) diese E-Mail erhalten:
Dear RockYou user,
As you know, RockYou takes our users privacy very seriously. We take a lot of effort to protect user data from security breaches and attacks.
Unfortunately, RockYou has very recently learned that it encountered a security breach. As part of this breach, it is possible that someone may have accessed at least your email address and password for the RockYou system. We felt it was important to notify you of this immediately so that you could take any action you feel necessary to protect your privacy.
As a precaution, we strongly recommend you change any passwords for other online websites that have the same login and password immediately in order to protect your security.
If you have any questions, please feel free to contact security@rockyou.com. We are sorry for any problems this has caused you.
The RockYou team
Heisst in Kurzform so viel wie: …
Immerhin haben sie auf "Tom’s" Drohung richtig reagiert, Dank dem edlen Hacker!
2 Link-Referenzen (Trackbacks)
Der RockYou Hacker – 32 Millionen Benutzer-Konten mit Passwörtern gehackt!
Hacker Tom (kein richtiger Name) hat über SQL-Injection von der RockYou-Datenbank Login-Daten für…
[...] Art. Schauen Sie sich die kostenlosen oder preiswerten Passwort-Management-Tools an, die kürzlich durch einen hochkarätigen Hacker empfohlen wurden. Damit können Sie starke, zufällige Passwörter erstellen und sie sicher [...]