Angeblich echter Screenshot von Daten, die LinkedIn von iOS-Kalender-Apps übertragen hat.
Daten-Gomorrha bei LinkedIn: Erst wurde bekannt, dass das Karriere-Netzwerk Nutzerdaten aus den Kalender-Apps von iOS-Nutzern ungefragt übertragen hat. Nun fand das norwegische Online-Magazin „Dagens IT“ auch noch heraus, dass wahrscheinlich 6,5 Millionen verschlüsselte Passwörter von LinkedIn in einem russischen Forum aufgetaucht sind.
Ein russischer Hacker gibt an, das Netzwerk gehackt und sich die Passwort-Liste so beschafft zu haben. Er hat sie veröffentlicht, ohne Login-Namen zu nennen. Einige LinkedIn-Nutzer sollen auch ihre unverschlüsselten Passwörter dort entdeckt haben; mehrere IT-Sicherheitsexperten halten den Hack für echt. Das Unternehmen reagierte in beiden Fällen schnell. Im Falle der Passwörter kündigte man via Twitter an, das Sicherheitsleck zu untersuchen. Update, 7.6.: LinkedIn hat reagiert und zugegeben, dass „einige“ Passwörter gestohlen worden seien. Diese Nutzer würden via Mail darüber informiert. /Update
Bei dem Kalender-Vertrauensbruch reagierte man vorbildlich und veröffentlichte schnell einen Blogpost mit Informationen darüber, was die App tue, was nicht und was man verbessern werde. Ein fahler Nachgeschmack wird natürlich trotzdem bleiben: LinkedIn geht zu lax mit Nutzerdaten um. Ich muss allerdings zugeben, dass mir die Kalender-Nachricht erst im Zusammenhang mit dem Passwort-Hack eine Meldung wert war. Nachdem derartige Praktiken in der jüngeren Vergangenheit bei Apple, Path oder WhatsApp Usus geworden sind, hätte ich alleine darüber wohl nicht berichtet. Fast ein wenig erschreckend, wie schnell solche Vorfälle alltäglich werden.
(Jürgen Vielmeier, Screenshot: Skycure)
Deine Jobbörse in der Digital-Welt
Wir tun jeden Tag, was wir lieben. Das kannst du auch! Über 20.000 Traumjobs in der IT- und Digital-Welt warten nur auf dich in der BASIC thinking-Jobbörse. Gleich reinschauen und entdecken!
Ich bin mal gespannt, wann es eine Rückmeldung von LinkedIn zu dem Vorfall gibt. Aber das hilft den Nutzern auch nicht.
Das wäre auf jedenfall sehr krass. Bin da aber nicht angemeldet. Trotzdem sollte jeder, der dort angemeldet ist und das gleiche Passwort wie bei LinkedIn noch bei anderen Diensten benutzt, dieses dringend ändern.
Ja was wird da wohl kommen irgendwelche Ausreden…wird in Zukunft nicht mehr passieren können Gerede, wie immer eben! :-/
Wie können Passwörter im Klartext an die Öffentlichkeit kommen? Wieso speichert überhaupt jemand Passwörter im Klartext? Jeder Blog und jedes Forum hat alle PWs verschlüsselt in der Datenbank.
6,5 Millionen ist schon eine Hausmarke. Bin gespannt, wie das weitergeht… 😉
Ich frage mich wie es gehen soll, dass „einige“ Benutzer ihre unverschlüsselten Passwörter sehen konnten.. das würde ja heißen das LinkedIn die Passwörter entweder im Klartext gespeichert hat oder mit einem (unsicheren) Algorithmus verschlüsselt hat, der sich umkehren lässt (wie MD5).. auf jeden Fall ein absolutes Security No-Go für ein Unternehmen derartiger Größe..
Na toll, mein Passwort schein dabei gewesen zu sein, jetzt erstmal fleißig PW´s ändern…und sowas bei ner Business-Plattform. Mal sehen, wann FB dran ist 😉
Last.fm ist jetzt auch davon betroffen, auch hier bekommt man die Meldung dass man sein Passwort doch bitte ändern möge.
http://www.lastfm.de/passwordsecurity
[…] gibt es genug, worüber wir heute berichten könnten. Passwortprobleme nicht nur bei LinkedIn, sondern auch bei Last.fm und eHarmony. Ein neues Foursquare, das aktiv mitdenkt. Samsung mit einem […]
@Capu das ist so nicht richtig:
MD5 ist ein Hash.
Heißt: nicht eindeutig umkehrbar.
Wenn allerdings der Längenbereich der Ursprungspasswörter
und/oder ggf. die zugrunde gelegten Eingabezeichen
bekannt sind ist es gut möglich via z.B. Brute-Force die Klartextpwd zu erraten.
(von meinem iPhone gesendet)
Das schlimme ist doch der Umgang mit den Kundendaten/Passwörtern. Die praktiken sind seit Jahren überholt und dies ist doch mehr als ausreichend bekannt.
Dazu dann noch diese Haltung die dann in solchen Fällen immer an den Tag gelegt wird. Wir prüfen noch, blabla, wir wissen es nicht genau, blabla, wir untersuchen den Vorfall… Aber bitte ändern sie ihr Passwort überall…
da hilft nur eins: regelmäßig das passwprt ändern!