Ashley Madison: Hacker knacken 13 Millionen Passwörter

10. September 2015, 17:48
13 Postings

Großer Teil aller Accounts betroffen – Gewählte Verschlüsselung war unzureichend

Sowohl für Nutzer als auch Betreiber des Seitensprungportals Ashley Madison waren die letzten Wochen nicht unbedingt die besten: Nach einem Erpressungsversuch haben unbekannter Hacker vor einigen Wochen nicht nur die Daten sämtlicher Nutzer der Seite sondern auch gleich noch interne Mail und den Quellcode veröffentlicht. Es folgten weiter für das Service peinliche Enthüllungen, etwa dass von den 32 Millionen Accounts gerade einmal 12.000 eindeutig Frauen zuzuordnen sind, und der Betreiber dieses Missverhältnis mit Bots auszugleichen versuchte.

Fehleinschätzung

Zumindest eine gute Nachricht gab es aber anfänglich: Die Passwörter schienen durch die Unterstützung von bcrypt krytografisch gut abgesichert zu sein. Nun stellt sich aber auch dies als Trugschluss heraus: Den Hackern von CynoSure Prime ist es mittlerweile gelungen mehr als 11 Millionen der verwendeten Passwörter zu knacken.

Details

In einem Blog-Eintrag gehen die Hacker auf ihre Methoden ein: Aufgrund der Verwendung von bcrypt schien das massenhafte Knacken zunächst unwahrscheinlich, da es äußert ressourcenintensiv sei. Bei genauerer Analyse stellte sich allerdings heraus, dass Ashley Madison bei der Hash-Erstellung fundamentale Fehler unterlaufen sind, was eine erhebliche Beschleunigung ermöglichte. Anschließend wurden die – bekannt schwachen – MD5 Tokens attackiert, um den Angriff weiter zu vereinfachen. Zum Eigentlichen Knacken greifen die Hacker dabei auf Tools wie MDXfind, und offenbar auch durchaus umfangreiche Hardware-Ressourcen zurück.

Maßnahme

Für die Nutzer des Services heißt dies nun: Wurde das selbe Passwort auch an anderer Stelle verwendet, sollte es dort ebenfalls umgehend geändert werden. Sonst ist es für Angreifer ein leichtes auch diese Accounts zu knacken, immerhin wurden gleich die passenden E-Mail-Adressen geleakt. (apo, 10.9.2015)

Share if you care.