Datenschleuder des Tages ist die Fleischbörse meetOne, die mal eben Namen, Mailadressen und unverschlüsselte Passwörter [!] von 900.000 Nutzern im Internet veröffentlicht hat. Ja, völlig frei und ohne großen Hack zugänglich. Dazu gabs dann auch alle weiteren Profilinfos, eben alles das, was Menschen sonst noch auf eine so genannte »Singlebörse« (fürchterliches Wort) stellen. Vor allem, wenn man sich die Stellungnahme von Seiten meetOnes anschaut, nachdem dieses Sicherheitsloch, in dem man das ganze Sonnensystem unterbringen konnte, zugestopft wurde: Laut Henning sei das ›Ausmaß der Lücke […] überschaubar‹, weil ›zu keiner Zeit sensible Daten wie Abrechnungsdaten ausgelesen werden konnten‹. Wos um Geld geht, sind die Daten sensibel, und wos ziemlich direkt in die Intimsphäre reinragt… ähm… eher weniger. Genau so wurde dort auch programmiert. Einfach nur episch, so etwas könnte sich kein noch so zynischer Satiriker besser ausdenken! Wer trotz solcher »bedauerlicher Einzelfälle« immer noch irgendwelchen Web-Klitschen seine Daten geben will: Bitte, immer nur zu! Ihr seid erwachsene und somit zumindest formell geschäftsfähige Menschen…
Schlagwort Datenschleuder RSS
-
Nachtwächter
-
Nachtwächter
Datenschleuder des Tages: Gamigo hat mal eben elf Millionen ungesaltete MD5-Hashes von Passwörtern (trivial, die Passwörter rauszukriegen) und dazu über acht Millionen Mailadressen seiner Nutzer »veröffentlicht«. Aber es war auch nur eine alte Datenbank, die da auf einem mit dem Internet verbundenen Server rumlungerte. Es gibt nichts zu sehen, einfach weitergehen; die Axel Springer AG als Gamigo-Betreiber hat schon eine »umfangreiche IT-Sicherheitsprüfung« veranlasst. Dass diese Prüfungen aber auch immer erst kommen, wenn es zu spät ist…
-
Nachtwächter
Datenschleuder des Tages ist AndroidForums.com, dort wurden mal eben sportliche 1,4 Millionen Datensätze »veröffentlicht«. Wie viele davon abgegriffen wurden, weiß keiner nichts genaues. Weggegangen sind mindestens die Mailadressen und die Passwort-Hashes.
Na, hat bei der momentanen Häufung von derartigen Vorfällen noch jemand Lust auf die Cloud?
-
Nachtwächter
Yahoo ist ja keine kleine Klitsche. Die haben mal eben bestätigt, dass sie die Passwörter wirklich im Klartext gespeichert haben. Nicht mal für einen (unsicheren) MD5-Hash hats gereicht. Bei so einer Datenschleuder lohnt sich der Hack.
So viel zum Thema: Warum man nach Möglichkeit niemanden ohne zwingenden Grund Daten anvertrauen sollte, egal, wie groß und renommiert der Laden ist.
-
Nachtwächter
Datenschleuder des Tages ist Formspring. Offenbar ist die Nutzerdatenbank auslesbar gewesen und die Passworthashes zirkulieren gerade zur Entschlüsselung im Internet. Wer dort ist oder war und das Passwort an anderer Stelle auch verwendet hat: Fröhliches Ändern!
-
Nachtwächter
Herzlichen Glückwunsch, Fratzenbuch, da hast du einen tollen und gut zu dir passenden Kauf gemacht.
-
Nachtwächter
Wenn ich so einige Kommentare im Heise-Forum ernstnehme, dann ist DHL wohl zu einer ziemlich großen Datenschleuder geworden und hat eine größere Menge weiter kriminell ausbeutbarer Kundendaten »veröffentlicht«: Name, Mailadresse, Postnummer. Und jetzt haben die Phisher relativ leichtes Spiel. Die Adresse stimmt und die Nummer stimmt, da wird ein Packstation-Nutzer nicht auf der Stelle misstrauisch.
Nachtrag mit Link zum CCC Karlsruhe: Hackstation [Danke, P.!]
-
Nachtwächter
Security-Facepalm des Tages: Obwohl eHarmony seine Nutzer dazu aufforderte, starke Passwörter unter anderem mit Groß- und Kleinbuchstaben zu verwenden, speicherten sie die Passwörter alle in Grossbuchstaben und schwächten die ohnehin schwache Sicherung damit noch weiter.
-
Nachtwächter
Und noch so eine Datenschleuder: Zu diesen Lausigen Taschenbüchern (oder so ähnlich) rund um neurotische Enten und durchgeschepperte Mäuse gibts auch eine Website, die mal eben 24.000 Registrierungsdaten »veröffentlicht« hat. Natürlich mit Vorname, Nachname, optional sogar noch einer Postanschrift, Geschlecht, Geburtsdatum, Mailadresse und einem Passwort-Hash. (Das sind die für mich sichtbaren Registrierungsdaten.) Ob der Hash gesaltet ist? Darüber schweigen die Betreiber. Genau so, wie sie darüber schweigen, wie die Angreifer an die Daten gekommen sind. Aber das jemand da ein paar Daten kopiert hat (nein, Heise, sie wurden nicht gestohlen, die Daten sind noch alle da), das hat der Laden schon irgendwie bemerkt. Woran? Wie? Sagt er nicht. Wozu auch, interessiert ja keinen. Sind ja nur Kundendaten. Was die Angreifer jetzt machen? Vermutlich so etwas…
-
Nachtwächter
Datenschleuder des Tages: LinkedIn hat millionenfach die Kombination Nutzername und Passworthash »veröffentlicht«. Wenn ich Kommentar Vier im verlinkten Netzpoltik-Artikel Glauben schenken darf, gehören die Mailadressen auch dazu, und dann wohl auch noch viel mehr persönliche Daten. Tja, die unnötige Zentralisation der gesamten Kommunikation auf irgendwelchen Web-Zwo-Nullsites hat eben alles ganz bequem gemacht.
Ich bin ja mal gespannt, was LinkedIn verpatzt hat, dass es dazu gekommen ist. Mein erster Tipp ohne weitere Informationen: SQL-Injection. Einfach nur, weil das immer noch so häufig geht.
Nachtrag: Die Bestätigung durch LinkedIn, dass die Kombinationen Passwort-Hash und Nutzername echt sind. Natürlich neben der üblichen Entschuldung, direkt gefolgt von der ebenso üblichen Beteuerung, dass man die Sicherheit der Nutzer sehr ernst nehme. Aber dafür völlig mit ohne weitere Informationen, welche Daten noch abgegriffen werden konnten.
Nachtrag Zwei mit EPIC FAIL: Aber nein, die Passwort-Hashes in der Datenbank waren nicht gesaltet und die Passwörter werden gerade geknackt, dass es nur so rattert. Aber in all dieser geistigen Trübnis gibt auch ein kleines Lichtchen, denn LinkedIn hat jetzt versprochen, demnächst einmal gesaltete Passworthashes zu speichern. Ich wünsche den Spezialexperten von LinkedIn viel Spaß dabei, im Jahr 2012 eine kryptografische Technik aus den Siebziger Jahren nachzurüsten.
Ach ja, wer immer noch seine Daten brav bei solchen Läden abgibt, weil das alles so toll, sozial, unkompliziert und einfach ist: Glaubt nicht, dass an anderen Stellen mehr Sorgfalt gepflegt wird, wenns um den Schutz persönlicher Daten geht! LinkedIn ist kein kleines Forum von Bierdeckelsammlern. Schaut euch einfach an, wofür Geld da war und wofür es nicht da war. Geld war da für Werbung, um die Marke im Web und teilweise auch in der Journaille gegenwärtig zu machen. Geld war nicht da, um jemanden zu bezahlen, damit er ein paar übliche und wohlbekannte Sicherheitsmaßnahmen bei der Speicherung von Passwörtern implementiert. Allein daran, was dieser Laden für »sinnvolle Ausgaben« hält, und was dieser Laden offenbar für »sinnlose Ausgaben« hält, wird deutlich, wie sehr er seine Nutzer verachtet und ausschließlich als Grundlage für ein Businessmodell verwurstet. Ich bin mir sicher, dass es bei anderen Web-Zwo-Nullsites nicht viel besser aussieht.
-
Nachtwächter
Datenschleuder des Tages: Aus dem Callcentern eines Mobilfunkanbieters trieften die Daten lt. Netzpolitik direkt zu braunen Schlägerbanden. Die Meldung bei Netzpolitik ist allerdings ungewöhnlich vage und sagt eigentlich nichts. Und wo die Infos herkommen, kann man auch nicht so richtig erahnen.
-
Nachtwächter
Datenschleuder des Tages ist das Zwitscherdingens, das mal eben 55.000 Accounts zusammen mit Passwort… ähm… irgendwie in die Öffentlichkeit gegeben hat. Es fällt mir schon ein bisschen schwer, da nicht breit zu grinsen. Vor allem, wenn ich daran denke, an vielen anderen Stellen im Web man sich mit seinem Zwitscherkonto »ganz bequem« einloggen kann, weil ja überall diese Web-Zwo-Nulldinger »integriert« werden müssen. Und das 20.000 davon Spamaccounts waren, ist auch nicht so überraschend, denn der kleine blaue Müllzwitscherer ist ein ideales Biotop für Spammer. Ich hätte eher getippt, dass der Spamaccount-Anteil viel höher liegt…