Last.fm gehackt, 1,5 Millionen Passwörter entwendet
Alexander Trust, den 11. Juni 2012Die Passwörter von Nutzer des Social Networks für Musik, Last.fm, sind offenbar in einem Internetforum aufgetaucht. Den Betreibern des Netzwerks wurde eine Datei mit verschlüsselten Passwörtern ihrer Nutzer, sogenannten Hashes, zugespielt. Im Anschluss wurden die Sicherheitsvorkehrungen verändert und Nutzer informiert, ihre Passwörter zu verändern. Allerdings blieb der Hack drei Monate lang unentdeckt.
Nach LinkedIn vor ein paar Tagen und eHarmony, hat nun auch das Social Network Last.fm zugegeben, dass Passwörter und Nutzerdaten durch Hacker entwendet wurden.
Lange Zeit im Dunklen getappt?
Laut Bobbie Johnson von GigaOM sollen die Betreiber drei Monate lang nichts davon gewusst haben, dass ihre Datenbank gehackt wurde. Erst im Mai hätte man den Verdacht gehabt, und sei der Sache nachgegangen. In einem Forum für Kryptografie seien 1,5 Millionen verschlüsselter Passwörter aufgetaucht. Noch am Wochenende hatte sich Matthew Hawn von Last.fm mit einem Statement an die Nutzer gewandt, in dem er beschreibt, dass man einen Tipp via E-Mail erhalten habe, und anschließend die Sicherheitsvorkehrungen angepasst hätte.
Die Nutzer wurden indes bislang im Unklaren darüber gelassen, dass dieser Vorfall sich „mindestens“ drei Monate früher ereignet habe. In dieser Zeit hat Last.fm es nicht geschafft, das Eindringen in ihr System zu bemerken. Schon im Mai gab es Beschwerden von Last.fm-Nutzern im offiziellen Forum, die Spam-E-Mails an Adressen bekamen, die nur über das Musik-Social-Network hätten bekannt sein können. Die Betreiber wollten der Sache nachgehen. Die angekündigte Untersuchung hat aber wohl nicht zur Aufdeckung des Hacks geführt und ebenso wenig den Zeitpunkt des virtuellen Einbruchs eruieren helfen können.
Hacks schon vor Jahren möglich?
In einem Reddit-Kommentar, wird von einem Nutzer nahegelegt, dass die Hacks schon im Jahr 2011 passiert seien. Die „Möglichkeit“ dazu indes bestand wohl schon seit Jahren. Denn ein ehemaliger Mitarbeiter von Last.fm gibt zu, dass er im Jahr 2003 ein Sicherheitssystem implementiert habe, dessen Passwörter „crackbar“ gewesen seien. Er verließ die Firma vor drei Jahren, an dem Umstand hatte sich bis dahin aber nichts geändert. Zu seiner Entschuldigung gibt er via Twitter an, dass er erst 18 Jahre jung gewesen sei, als er das System programmierte und in der PHP-Community im Jahr 2003 niemand eine Ahnung von „bycrypt“ gehabt habe.
Bobbie Johnson indes glaubt daran, dass der Hack tatsächlich erst vor etwa drei Monaten, in der Zeit zwischen Februar und März stattgefunden haben muss.