Thema: Passwort Lücken bei ....

[SiLæncer]

Der indische Sicherheitsspezialist Rishi Narang warnt, dass LinkedIn schlampig mit den Zugangsdaten seiner Anwender umgeht und sich deshalb Unbefugte leicht dauerhaften Zugang zu fremden Konten verschaffen könnten.

So verschlüsselt LinkedIn zwar die Übertragung des Passworts, leitet danach aber auf unverschlüsselte Seiten um. Während der Nutzung des Web-2.0-Adressbuchs werden folglich unter anderem Sitzungs-Cookies unverschlüsselt übertragen. Kann ein Angreifer diese etwa in einem ungeschützten WLAN abhören, hat er damit auch vollen Zugang zum Account des Belauschten. Das demonstrierte Firesheep sehr eindrucksvoll, woraufhin unter anderem Twitter und Facebook eine Option eingeführt haben, optional alle Seiten via https zu besuchen.

Bei LinkedIn kommt jedoch noch erschwerend hinzu, dass das in einem Cookie namens LEO_AUTH_TOKEN gespeicherte Zugangs-Token offenbar auch nach dem Abmelden nicht verfällt und weiterhin vollen Zugang zum Account gewährt. Laut Narang soll es sogar Passwort-Änderungen überleben und erst nach einem Jahr verfallen.

Tatsächlich gelang es heise Security mit dem dem von Narang bereitgestellten Beispielsskript auch nach dem expliziten Abmelden ein Status-Update auf LinkedIn zu posten. Nach einer Passwort-Änderung funktionierte dies allerdings nicht mehr. Das kann aber durchaus daran liegen, dass LinkedIn derzeit das Session-Management überarbeitet. Dafür spricht, dass mittlerweile ein zweites Zugangs-Token auftaucht, bei dem das Secure-Flag gesetzt ist und das somit nur über verschlüsselte Verbindungen übertragen wird.

Quelle : www.heise.de

[SiLæncer]

Beim Sozialen Netzwerk "LinkedIn" gibt es offenbar ein Sicherheits-Problem. Ein Nutzer eines russischen Forums prahlt damit, angeblich 6,5 Millionen LinkedIn-Login-Daten - Benutzernamen und gehashte Passwörter - kopiert und veröffentlicht zu haben. Erste Berichte Betroffener scheinen seine Behauptungen zu bestätigen.

Eine endgültige Bestätigung für die Behauptungen des angeblichen Angreifers gibt es bislang noch nicht. Auf Twitter berichten jedoch eine LinkedIn-Nutzer bereits, sie hätten den Hash ihres Passworts auf der Liste gefunden.

Die Passwörter sollen mit dem Algorithmus SHA-1 gehasht sein. Dieser gilt - trotz erster Berichte über kryptographische Schwächen - in der Praxis noch als recht sicher. Es ist also nicht möglich, die Passwörter anhand der Hashes zu rekonstruieren. Durch Wörterbuch-Angriffe, die Verwendung von Rainbow Tables oder Bruteforce-Angriffe sind schwache - also vor allem zu kurze oder zu häufige - Passwörter aber trotzdem in Gefahr.

Quelle : www.gulli.com

[SiLæncer]

Das Soziale Netzwerk LinkedIn bestätigte am heutigen Donnerstag den Leak von 6,5 Millionen Login-Datensätzen einschließlich der gehashten Passwörter. Die genauen Umstände des Vorfalls werden derzeit noch untersucht. Die betroffenen Nutzer wurden mittlerweile angeschrieben und ihre Passwörter gesperrt.

Unbekannte hatten am gestrigen Mittwoch in einem einschlägigen Forum damit geprahlt, 6,5 Millionen LinkedIn-Datensätze erbeutet zu haben. Entsprechende Datensätze tauchten auf einem russischen Filehoster auf. Heute bestätigte LinkedIn den Vorfall; die Betroffenen wurden bereits per E-Mail informiert und dazu aufgefordert, ihre zwischenzeitlich gesperrten Passwörter durch neue zu ersetzen.

Bei den erbeuteten Passwort-Hashes wurde kein Salt verwendet, was die Hashes für bestimmte Angriffe anfälliger macht. Dies wurde nach Angaben der LinkedIn-Administratoren mittlerweile geändert. In einem Blog-Posting teilte das Unternehmen mit, die Passwörter nicht betroffener Nutzer sowie die neuen Passwörter der Betroffenen würden nun mit einem Salt gehasht. LinkedIn entschuldigte sich bei seinen Nutzern für den Vorfall.

Quelle : www.gulli.com

[SiLæncer]

Beim Musik-Streaming-Dienst Last.fm kam es allem Anschein nach zu einem sicherheitsrelevanten Vorfall, bei dem "einige" Benutzer-Datensätze kompromittiert wurden. Der Umfang sowie die technischen Einzelheiten des Leaks sind bislang unklar. Last.fm fordert seine Nutzer vorsichtshalber zur Änderung ihrer Passwörter auf.

Kurz nach mehreren anderen Passwort-Leaks - unter anderem beim Sozialen Netzwerk LinkedIn (gulli:News berichtete) - berichtet auch der populäre Musik-Streaming-Dienst Last.fm über einen Leak bei Benutzer-Datensätzen. In einer Stellungnahme vom heutigen Donnerstag erklärt Last.fm, es sei zum Leak "einiger Last.fm-Benutzerpasswörter" gekommen. Der Vorfall werde derzeit untersucht, teilen die Verantwortlichen mit.

Die technischen Einzelheiten des Leaks sind bislang vollkommen unbekannt. Last.fm teilte bisher weder mit, wie viele Benutzer von dem Leak betroffen sind, noch sind Einzelheiten zur Angriffsmethode oder möglicherweise ausgenutzten Sicherheitslücken bekannt. Auch ist unbekannt, ob und wie die geleakten Passwörter gehasht waren.

Als "Vorsichtsmaßnahme" sollen alle Last.fm-Nutzer nun ihr Passwort ändern. Last.fm empfiehlt, ein Passwort zu verwenden, das nicht bei anderen Websites oder Internet-Diensten zum Einsatz kommt.

Last.fm entschuldigt sich bei seinen Nutzern für die mit dem Vorfall verbundenen Unannehmlichkeiten und betont, man nehme die Privatsphäre seiner Nutzer sehr ernst.

    We're investigating a security issue with user passwords. As a precaution, we recommend you change your password: last.fm/passwordsecuri…
    — Last.fm (@lastfm) June 7, 2012

Quelle : www.gulli.com

[SiLæncer]

Die Verantwortlichen des Sozialen Netzwerks LinkedIn sind derzeit noch mit der Untersuchung des kürzlich erfolgten sicherheitsrelevanten Vorfalls, bei dem 6,5 Millionen Benutzer-Datensätze samt Passwort-Hashes geleakt wurden, beschäftigt. Dabei wandte sich LinkedIn offenbar auch an die US-Bundespolizeibehörde FBI.

LinkedIn äußerte die Vermutung, dass nur ein kleiner Teil der gehashten Passwörter von den Angreifern rekonstruiert werden konnte. Diese Meinung ist aber nicht unumstritten; das IT-Sicherheitsunternehmen Sophos schätzt beispielsweise, dass bis zu 60% aller Passwörter so schwach gewählt sind, dass sie sich mit gängigen Angriffsmethoden ermitteln lassen. Darüber, welche Daten außer den Login-Datensätzen erbeutet wurden, schweigt sich LinkedIn derzeit weiter aus. Einige Nutzer berichten über Wellen von Spam- und Phishing-Mails, bei denen LinkedIn als gefälschter Absender verwendet wird, was sie zu der Vermutung bringt, dass auch E-Mail-Adressen kopiert wurden und nun von den Internet-Kriminellen ausgenutzt werden. LinkedIn traf hierzu keine eindeutige Aussage.

Das Soziale Netzwerk teilte mit, derzeit werde intern weiter ermittelt, wie es zu dem Angriff kommen konnte und welcher Schaden dabei genau angerichtet wurde. Auch die Ermittlungsbehörden, namentlich das FBI, sind mittlerweile informiert und untersuchen den Vorfall. LinkedIn teilte mit, man unterstütze die Polizei bei ihren Ermittlungen.

Quelle : www.gulli.com

[SiLæncer]

Die Betreiber des sozialen Netzwerks LinkedIn, dessen Nutzer kürzlich zu Opfern eines umfassenden Daten-Leaks wurden, lieferten am heutigen Mittwoch eine aktuelle Zusammenfassung der Situation. Demnach wird der Vorfall nach wie vor untersucht; angekündigte Verbesserungen des Sicherheits-Standards sind dagegen bereits abgeschlossen.

Am Morgen des 6. Juni 2012 war die unautorisierte Veröffentlichung 6,5 Millionen LinkedIn-Benutzerdatensätzen samt der (gehashten) Passwörter bekannt geworden. Die Betreiber leiteten umgehend eine Untersuchung des Vorfalls ein. Basierend auf ersten Untersuchungsergebnissen wurden sowohl Passwörter, die als risikoreich eingestuft wurden, als auch alle im Internet veröffentlichten Passwörter umgehend deaktiviert und die betroffenen Mitglieder per E-Mail informiert. Dieser Prozess war bis zum Nachmittag des 7. Juni abgeschlossen.

LinkedIn-Sprecherin Patricia Kneis berichtet, es gebe bislang keine Berichte darüber, dass LinkedIn-Accounts durch den Vorfall tatsächlich kompromittiert worden seien.

Die Polizei wurde von LinkedIn informiert und ermittelt derzeit. LinkedIn arbeitet im Rahmen der polizeilichen Untersuchung mit den Behörden zusammen.

Die angekündigte Umstellung auf Passwort-Hashes, bei denen ein sogenannter Salt verwendet wird, wurde nach Angaben der Betreiber mittlerweile abgeschlossen. Nach Angaben LinkedIns sei dieser Schritt schon lange geplant gewesen. "Wir können bestätigen, dass jetzt alle Passwörter sowohl durch die Hash- als auch durch die Salt-Codierung gesichert sind," teilte das Unternehmen mit.

Weitere Details nennt LinkedIn derzeit aufgrund der noch laufenden Ermittlungen nicht. Die Hintergründe sowie die Urheber des Hacks liegen somit weiterhin im Dunkeln.

LinkedIn teilte noch einmal mit, dass man den sicherheitsrelevanten Vorfall sehr bedauert. "Die Sicherheit der Daten unserer Mitglieder und die Transparenz des Netzwerks haben bei uns oberste Priorität," teilt das Unternehmen mit.

Quelle : www.gulli.com