Die Geschichte der Aufsehen erregenden Datenlecks geht mit Tumblr weiter

Ein Hacker mit dem Pseudonym „Peace“ verkauft derzeit die Daten von insgesamt 65 Millionen Tumblr-Benutzerkonten für 0,4255 Bitcoin (225 Dollar) über den Darknet-Marktplatz „The Real Deal“, wo man sich auf Geschäfte mit gestohlenen Daten und Computer-Schwachstellen spezialisiert hat. Der gleiche Hacker verkauft Medienberichten zufolge auch gestohlene Nutzerdaten für Fling, LinkedIn und MySpace.

 

 

 

 

 

Der Hacker-Angriff auf Tumblr erfolgte bereits 2013, das Unternehmen wurde jedoch erst im Mai 2016 darauf aufmerksam und setzte auch seine Nutzer in Kenntnis.

Offenbar wurden die Passwörter laut einer Analyse von Troy Hunt mittels Hash-Algorithmus und Salt gespeichert, Tumblr machte jedoch keine Angaben zu dem verwendeten Algorithmus. Aus diesem Grund ist der Verkaufspreis auch relativ niedrig.

„Bedenkt man jedoch, wie lange der Hack schon zurückliegt und wie wenig sorgfältig man zu dieser Zeit auf vielen Websites vorgegangen ist, kann man schon davon ausgehen, dass die Hälfte der Passwörter geknackt wurde“, so Hunt.

 

Was haben diese vier Hacks gemeinsam?

Alter – das Eindringen der Hacker blieb jahrelang unentdeckt, der aktuellste Hack ist schon über 3 Jahre alt.

LinkedIn – 2012

Fling.com – 2011

MySpace – 2013

Tumblr – 2013

Größe – bei allen Hacks wurden riesige Mengen an Daten gestohlen.

LinkedIn – 167 Millionen gehackte Anmeldedaten wurden zum Kauf angeboten

Fling.com – Passwörter und sexuelle Vorlieben von 40 Millionen Nutze

MySpace – über 427 Millionen MySpace-Passwörter

Tumblr – 65 Millionen

 

Zeitpunkt der Veröffentlichung – die Daten wurden innerhalb kurzer Zeit veröffentlicht, in der Reihenfolge der Sicherheitslücken. Nur ein Zufall?

Die Zahlen sind auf jeden Fall beeindruckend. Aber wie kann die Echtheit der Daten geprüft werden? Im Falle von Fling.com sind nur 61 von 101 untersuchten E-Mail bereits in Verwendung, so die Erkenntnisse von Motherboard.

„Es gilt zum Beispiel zu bedenken, dass man bei Fling zur Erstellung eines Benutzerkontos nicht erst auf einen Verifizierungslink klicken muss, der einem zuvor per E-Mail zugeschickt wurde“, so der Artikel. „Bei der Anlage von Testkonten durch Motherboard mussten die Passwörter auch Zahlen enthalten, in den Stichprobendaten enthielten viele Passwörter jedoch nur Buchstaben.“

 

Unter https://haveibeenpwned.com/ können Sie anhand einer Datenbank mit über 600 Millionen gehackten Benutzerkonten überprüfen, ob auch Sie Opfer dieser oder anderer Sicherheitslücken geworden sind.

rn