Sonstiges

LinkedIns Tag des Daten-GAUs: 6,5 Millionen Passwörter veröffentlicht, Nutzerdaten ungefragt übertragen


Angeblich echter Screenshot von Daten, die LinkedIn von iOS-Kalender-Apps übertragen hat.

Daten-Gomorrha bei LinkedIn: Erst wurde bekannt, dass das Karriere-Netzwerk Nutzerdaten aus den Kalender-Apps von iOS-Nutzern ungefragt übertragen hat. Nun fand das norwegische Online-Magazin „Dagens IT“ auch noch heraus, dass wahrscheinlich 6,5 Millionen verschlüsselte Passwörter von LinkedIn in einem russischen Forum aufgetaucht sind.

Ein russischer Hacker gibt an, das Netzwerk gehackt und sich die Passwort-Liste so beschafft zu haben. Er hat sie veröffentlicht, ohne Login-Namen zu nennen. Einige LinkedIn-Nutzer sollen auch ihre unverschlüsselten Passwörter dort entdeckt haben; mehrere IT-Sicherheitsexperten halten den Hack für echt. Das Unternehmen reagierte in beiden Fällen schnell. Im Falle der Passwörter kündigte man via Twitter an, das Sicherheitsleck zu untersuchen. Update, 7.6.: LinkedIn hat reagiert und zugegeben, dass „einige“ Passwörter gestohlen worden seien. Diese Nutzer würden via Mail darüber informiert. /Update

Bei dem Kalender-Vertrauensbruch reagierte man vorbildlich und veröffentlichte schnell einen Blogpost mit Informationen darüber, was die App tue, was nicht und was man verbessern werde. Ein fahler Nachgeschmack wird natürlich trotzdem bleiben: LinkedIn geht zu lax mit Nutzerdaten um. Ich muss allerdings zugeben, dass mir die Kalender-Nachricht erst im Zusammenhang mit dem Passwort-Hack eine Meldung wert war. Nachdem derartige Praktiken in der jüngeren Vergangenheit bei Apple, Path oder WhatsApp Usus geworden sind, hätte ich alleine darüber wohl nicht berichtet. Fast ein wenig erschreckend, wie schnell solche Vorfälle alltäglich werden.

(Jürgen Vielmeier, Screenshot: Skycure)

Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

12 Kommentare

  • Ich bin mal gespannt, wann es eine Rückmeldung von LinkedIn zu dem Vorfall gibt. Aber das hilft den Nutzern auch nicht.

  • Das wäre auf jedenfall sehr krass. Bin da aber nicht angemeldet. Trotzdem sollte jeder, der dort angemeldet ist und das gleiche Passwort wie bei LinkedIn noch bei anderen Diensten benutzt, dieses dringend ändern.

  • Ja was wird da wohl kommen irgendwelche Ausreden…wird in Zukunft nicht mehr passieren können Gerede, wie immer eben! :-/

  • Wie können Passwörter im Klartext an die Öffentlichkeit kommen? Wieso speichert überhaupt jemand Passwörter im Klartext? Jeder Blog und jedes Forum hat alle PWs verschlüsselt in der Datenbank.

  • Ich frage mich wie es gehen soll, dass „einige“ Benutzer ihre unverschlüsselten Passwörter sehen konnten.. das würde ja heißen das LinkedIn die Passwörter entweder im Klartext gespeichert hat oder mit einem (unsicheren) Algorithmus verschlüsselt hat, der sich umkehren lässt (wie MD5).. auf jeden Fall ein absolutes Security No-Go für ein Unternehmen derartiger Größe..

  • Na toll, mein Passwort schein dabei gewesen zu sein, jetzt erstmal fleißig PW´s ändern…und sowas bei ner Business-Plattform. Mal sehen, wann FB dran ist 😉

  • @Capu das ist so nicht richtig:
    MD5 ist ein Hash.
    Heißt: nicht eindeutig umkehrbar.
    Wenn allerdings der Längenbereich der Ursprungspasswörter
    und/oder ggf. die zugrunde gelegten Eingabezeichen
    bekannt sind ist es gut möglich via z.B. Brute-Force die Klartextpwd zu erraten.

    (von meinem iPhone gesendet)

  • Das schlimme ist doch der Umgang mit den Kundendaten/Passwörtern. Die praktiken sind seit Jahren überholt und dies ist doch mehr als ausreichend bekannt.
    Dazu dann noch diese Haltung die dann in solchen Fällen immer an den Tag gelegt wird. Wir prüfen noch, blabla, wir wissen es nicht genau, blabla, wir untersuchen den Vorfall… Aber bitte ändern sie ihr Passwort überall…