Veröffentlichung von Zugangsdaten: LinkedIn droht Hacker-Datenbank

LinkedIn hat mit juristischen Drohungen erreicht, dass die Hacker-Datenbank LeakedSource keine Suche mehr nach LinkedIn-Nutzerdaten ermöglicht. Bei einem Sicherheitsvorfall war LinkedIn im Jahr 2012 eine unbekannte Zahl Zugangsdaten gestohlen worden. LeakedSource liegen nach eigenen Angaben Daten zu 167.370.910 Konten vor, von denen etwa 117 Millionen auch ein mit SHA-1 gehashtes, nicht mit Salt angereichertes und somit in den meisten Fällen leicht dechiffrierbares Passwort aufweisen. Sie stammen wahrscheinlich von vor vier Jahren.

Anwälte hatten LeakedSource im Namen von LinkedIn mit einer Unterlassungserklärung aufgefordert, die Daten vom Netz zu nehmen. Es entschloss sich, zumindest zunächst nachzugeben und sich mit eigenen Anwälten zu beraten. Es betont auch, selbst zu keinem Zeitpunkt unberechtigt auf LinkedIn oder ein anderes Computersystem zugegriffen zu haben.

LeakedSource kann man als Sammler von Daten aus Hackerangriffen bezeichnen. Es ist keinesfalls ein illegaler Vermittlungsdienst für Hacker oder Daten. Vielmehr dürften die 167 Millionen LinkedIn-Daten für Kriminelle im Dark Web weiter erhältlich sein. Laut Motherboard werden dafür 2200 Dollar gefordert. LinkedIns panisch wirkende Maßnahme dürfte also unter anderem den Verkäufern nützen.

Der Zugang zu Detailinformationen bei LeakedSource ist mit einem Abonnement verbunden, eine Basissuche kostenlos. LinkedIns Vorwurf der Erpressung sei aus der Luft gegriffen: „Hier gibt es keine Erpressung, wir würden Ihnen unsere Daten kostenlos geben, wenn Sie danach fragen würden.“

Ebenfalls kostenlos kann man sich selbst aus der LeakedSource-Datenbank löschen lassen, falls dort ein Eintrag existiert. Die Website nennt auch die beliebtesten Passwörter der LinkedIn-Benutzer: Über 750.000 wählten „123456“, 172.000 verfielen auf die originelle Lösung „linkedin“ und 144.000 griffen zum universelleren „password“.

Das 2002 gegründete und auf Geschäftsanwender ausgerichtete Social Network LinkedIn meldete 2015 rund 400 Millionen Nutzer. Sein Fokus sind die Suche nach Geschäftspartnern und Angestellten beziehungsweise Stellen.

LinkedIn-Nutzer sollten dringend ihr Passwort wechseln – insbesondere falls sie bereits 2012 dort aktiv waren und es seither nicht ausgetauscht haben. Sicherheitsexperte Graham Cluley rät zum Einsatz eines Passwortmanagers und einer Zwei-Faktor-Authentifizierung.

Erst im Februar 2015 hatte LinkedIn eine Klage wegen des Passwortdiebstahls für 1,25 Millionen Dollar beigelegt. Die Kläger hatten ihm unzureichende Sicherheitsmaßnahmen vorgeworfen – vor allem durch Verzicht auf Salt, also zufällig generierte, an Hashes angehängte Zeichenfolgen. Bis zu 800.000 Amerikaner waren anspruchsberechtigt. Sie erhielten je maximal 50 Dollar.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de