20.06.2012 17:40
LinkedIn wegen Passwort-Leck verklagt
Zwei Wochen nach dem Bekanntwerden eines massiven Passwort-Lecks bei LinkedIn sieht sich das Business-Netzwerk mit einer Millionenklage konfrontiert. Eine Nutzerin aus dem US-Bundesstaat Illinois hat im kalifornischen San Jose eine Sammelklage im Namen weiterer Mitglieder eingereicht. Der Vorwurf: LinkedIn soll mit veralteter Sicherungstechnik persönliche Daten gefährdet und die Nutzer nach dem Diebstahl zu spät informiert haben. Der Streitwert wird mit mehr als fünf Millionen Dollar beziffert.
Die Klägerin wirft LinkedIn vor, die Daten einem veralteten Hash-Algorithmus unterzogen zu haben, dem Format SHA1, das bereits 1995 entwickelt worden sei. Das Unternehmen habe es versäumt, die Passwörter zuvor "gesalzen", das heißt mit Zufallswerten ergänzt zu haben, um die Rückübersetzung in Klartext zu erschweren. Damit habe LinkedIn "die Integrität von sensiblen Daten der Nutzer erheblichen Risiken ausgesetzt", heißt es in der Klage.
LinkedIn betonte am Mittwoch in einer Stellungnahme, nach dem Datendiebstahl sei es in keinem einzigen Fall zu Störungen von Nutzerprofilen gekommen. Die Klage sei daher offenbar "von Anwälten vorangetrieben worden, die die Situation ausnutzen wollen". Die Vorwürfe seien gegenstandslos, und LinkedIn werde sich entschieden dagegen zur Wehr setzen.
Das tatsächliche Ausmaß des Datendiebstahls, von dem auch die Singlebörse eHarmony und der Musikdienst last.fm betroffen sind, ist bislang schwer abzuschätzen. Auf einer russischen Webseite war eine Liste mit nahezu 6,5 Millionen Passwort-Hashes von LinkedIn aufgetaucht, bei Last.fm sollen die 2,5 Millionen öffentlich gewordenen Hashes Teil einer Liste mit 17 Millionen Einträgen sein.
Siehe dazu auch:
- LinkedIn und die Passwörter. Kommentar auf heise Security.
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
