11.07.2012 13:40
Frage- und Antwort-Plattform Formspring kompromittiert
Über 400.000 Passwörter der bereits wieder aus der Mode gekommenen Frage- und Antwort-Platfform Formspring sind in falsche Hände geraten. Der Vorfall weckt Erinnerungen an die Passworts-Lecks bei prominenten Sites wie LinkedIn, Last.fm und eHarmony. Vor rund einem Monat fanden dabei mehrere Millionen Passwort-Hashes ihren Weg ins Netz.
heise Security hatte die Formspring-Hashes Ende vergangener Woche entdeckt, konnte zu diesem Zeitpunkt aber nicht bestimmen, woher die Daten stammen. Kurz darauf meldete sich ein Leser unseres englischsprachigen Schwestermagazins The H mit dem entscheidenden Hinweis, dass hunderte Passwörter den Begriff formspring enthalten.
Nachdem wir die Betreiber der Plattform mit unserer Entdeckung konfrontierten, konnte das Unternehmen die Schwachstelle schnell in einem seiner "Entwicklungsserver" aufspüren und nach eigenen Angaben auch schließen. Zudem hat Formspring die Passwörter sämtlicher Nutzer zurückgesetzt. Bei dieser Gelegenheit hat das Unternehmen das Hash-Verfahren von SHA-256 (gesalzen) auf bcrypt umgestellt, was man bisher nur mit erheblichem Rechenaufwand und somit sehr langsam knacken kann.
Von den rund 400.000 Hashes haben findige Passwortknacker übrigens schon die Hälfte rekonstruiert. Es ist wahrscheinlich, dass das Datenleck noch deutlich größer ist und die veröffentlichten Hashes lediglich solche sind, die der Besitzer der vollständigen Liste nicht selbst knacken konnte.
(rei)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
