Frage- und Antwort-Plattform Formspring kompromittiert

Über 400.000 Passwörter der bereits wieder aus der Mode gekommenen Frage- und Antwort-Platfform Formspring sind in falsche Hände geraten. Der Vorfall weckt Erinnerungen an die Passworts-Lecks bei prominenten Sites wie LinkedIn, Last.fm und eHarmony. Vor rund einem Monat fanden dabei mehrere Millionen Passwort-Hashes ihren Weg ins Netz.

heise Security hatte die Formspring-Hashes Ende vergangener Woche entdeckt, konnte zu diesem Zeitpunkt aber nicht bestimmen, woher die Daten stammen. Kurz darauf meldete sich ein Leser unseres englischsprachigen Schwestermagazins The H mit dem entscheidenden Hinweis, dass hunderte Passwörter den Begriff formspring enthalten.

Nachdem wir die Betreiber der Plattform mit unserer Entdeckung konfrontierten, konnte das Unternehmen die Schwachstelle schnell in einem seiner "Entwicklungsserver" aufspüren und nach eigenen Angaben auch schließen. Zudem hat Formspring die Passwörter sämtlicher Nutzer zurückgesetzt. Bei dieser Gelegenheit hat das Unternehmen das Hash-Verfahren von SHA-256 (gesalzen) auf bcrypt umgestellt, was man bisher nur mit erheblichem Rechenaufwand und somit sehr langsam knacken kann.

Von den rund 400.000 Hashes haben findige Passwortknacker übrigens schon die Hälfte rekonstruiert. Es ist wahrscheinlich, dass das Datenleck noch deutlich größer ist und die veröffentlichten Hashes lediglich solche sind, die der Besitzer der vollständigen Liste nicht selbst knacken konnte. (rei)