Sicherheitswoche 23: LiveJournal-Passwortleck

Am Mittwoch, dem 27. Mai, verfügt der Haveibeenpwned- Dienst , der Benutzerpasswortlecks verfolgt, über eine Datenbank mit Benutzeranmeldungen und Kennwörtern für den LiveJournal-Dienst. Das Datenleck soll 2014 aufgetreten sein.

Troy Hunt, dem Gründer des Haveibeenpwned-Dienstes, zufolge erhielt er jedoch einige Beweise für die Präsenz in der Datenbank der später erstellten Konten. Nach einem Teil der Datenbank, die auf der Website von Bleeping Computer veröffentlicht wurde , erhielten rund 30 Millionen Benutzer freien Zugang zu E-Mail-Adressen, Links zu Profilen und Passwörtern im Klartext. Ursprünglich sollten Passwörter als MD5-Hashes dargestellt werden.

Gerüchte über das Durchsickern der LiveJournal-Passwortdatenbank gingen aufzurück im letzten Jahr. Obwohl Vertreter des Blog-Hostings kein Hacking gemeldet haben, wurde die Authentizität der Daten bestätigt, auch von den Eigentümern des Dreamwidth- Dienstes . Diese Plattform, die auf einer ähnlichen Codebasis basiert, wurde häufig gleichzeitig zum Kopieren von Blogs verwendet. Auf der Dreamwidth-Seite bestätigten sie einen Anstieg der Anzahl von Stuffing-Angriffen mit Anmeldeinformationen, wenn viele Konten versuchen, Kennwörter eines anderen Dienstes zu knacken. Die Veröffentlichung auf der Bleeping Computer-Website beschreibt ausführlich, wie Angreifer Kennwortlecks verwenden.

Ein weiteres Leck ist ein guter Grund, die Situation des Benutzers zu betrachten. Einer der Autoren des Digests erhielt eine Benachrichtigung vom Troy Hunt-Dienst. Sie können dort auch überprüfen (wenn Sie ihm vertrauen), ob die Leckdatenbank ein bestimmtes Kennwort enthält - das aktuelle Kennwort für LJ wird auf diese Weise nicht gefunden. Wenn Sie in den letzten Jahren Ihr Passwort in LiveJournal oder einem anderen Dienst geändert haben, bei dem ein Passwortdatenbankleck aufgetreten ist, sind Sie im Allgemeinen fast sicher.

Warum fast? Tatsache ist, dass das alte Passwort an andere Dienste weitergeleitet werden kann, wenn Sie es wiederverwenden oder wenn Sie lange vergessen haben, dass Sie sich auf einer Website registriert haben. Das Beispiel mit Dreamwidth ist bezeichnend: Früher war es in Mode, das Tagebuch dieses Dienstes kostenlos und mit wenigen Klicks zu sichern. Es ist leicht, eine solche Kopie zu vergessen, und es scheint, dass Angreifer Zugriff darauf erhalten können. Besonders gefährdet sind lange verlassene Blogs, die zerstört werden könnten. Es ist auch kein angenehmes Szenario, persönliche Informationen aus Sub-Lock-Posts zu verlieren.

Bleeping Computer erwähnt andere Angriffsbeispiele. Zusätzlich zum Hacken von Konten im betroffenen Dienst werden Kennwörter für die Erpressung in Spam-Mailings verwendet. Typisches Szenario: Sie erhalten einen Brief mit einer Nachricht über das angebliche Hacken Ihres Computers. Das Passwort aus der Datenbank der Lecks wird als Beweis angegeben. Die Benutzer, die für alles dasselbe Passwort verwenden und es nie geändert haben, sind am stärksten gefährdet: Jeder dieser Vorfälle erhöht die Wahrscheinlichkeit eines vollständigen Verlusts personenbezogener Daten bis hin zum Diebstahl von Geldern von einem Bankkonto.

LiveJournal ist nicht der einzige Dienst, dessen Benutzerinformationsdatenbanken gemeinsam genutzt wurden. In der bedingten Kategorie der sozialen Netzwerke wurden zu unterschiedlichen Zeiten Passwörter aus den Diensten 500px im Jahr 2018, AdultFriendFinder und Badoo im Jahr 2016, imgur im Jahr 2013, LinkedIn und Last.fm im Jahr 2012 gestohlen. Das Leck von LiveJournal zeichnet sich durch eine lange Expositionszeit der Datenbank aus: nach dem Hacken, die Im Zeitraum von 2014 bis 2017 wurden Benutzerkennwörter erst im Mai 2020 öffentlich zugänglich.

Dies schließt natürlich den Weiterverkauf von Informationen auf dem Schwarzmarkt nicht aus. Der Benutzerschutz hängt weitgehend von den Anbietern digitaler Dienste ab, und hier bleibt nur zu wünschen, dass alle, wenn möglich, Passwörter nicht im Klartext speichern. Die Realität ist jedoch, dass Benutzer Maßnahmen ergreifen müssen. Die Verwendung von Passwörtern vor drei Jahren ist eindeutig keine gute Idee.

Was noch passiert ist:
Eine interessante StudieKaspersky Lab über einen Angriff auf Industrieunternehmen. Die Veröffentlichung befasst sich mit dem Anfangsstadium solcher Angriffe - Versuche, in die traditionelle Netzwerkinfrastruktur einzudringen, die sich nicht wesentlich von anderen unterscheidet. Der beschriebene Angriff ist eindeutig zielgerichtet. Es werden Phishing-E-Mails mit schädlichen Anhängen (XLS-Datei mit Makros) und - unerwartet - Steganografie verwendet: Das Skript lädt das Bild vom öffentlichen Hosting herunter, um die Schutzmittel zu umgehen und die nächste Stufe der Malware daraus zu entschlüsseln.

Die neueste Version von UnC0ver Jailbreak für iOS-Geräte funktioniert auch mit Geräten mit iOS 13.5. Die Autoren des Hack-Tools erwähnen das Vorhandensein einer Zero-Day-Sicherheitslücke.

Radware-Spezialisten führten eine Analyse durchBotnet Hoaxcalls. Im Gegensatz zu vielen anderen kriminellen Operationen des Massenhacks von Netzwerkroutern und anderen Geräten wird kein Kennwort-Cracking verwendet, sondern eine Reihe von Exploits für häufige Sicherheitslücken in eingebetteter Software. Ein anderes Botnetz verwendet das legitime Telemetrie-Erfassungssystem des chinesischen Unternehmens Baidu, um Daten von infizierten Systemen auf den Befehlsserver zu übertragen.

Die Sicherheitsabteilung von Microsoft warnt vor einer Ransomware-Gruppe namens Ponyfinal. Sie ist spezialisiert auf Unternehmensziele. Das Angriffsschema hat bekannte Motive: Hacken schwacher Passwörter, manuelle Kontrolle der Opfer, Datendiebstahl vor der Verschlüsselung. Letzteres ermöglicht es, zweimal ein Lösegeld zu verlangen - um Informationen wiederherzustellen und damit sie nicht veröffentlicht werden.

Eine interessante Studie von Veracode ( Nachrichten , Quelle in PDF). Nach der Analyse von 85.000 Anwendungen fanden 70% von ihnen bestimmte Fehler, die zuvor in Open Source-Komponenten entdeckt wurden. Entwickler von mobiler und Desktop-Massensoftware verwenden während der Entwicklung frei verteilten Code, schließen jedoch bekannte Schwachstellen in ihren Builds nicht immer.