Abo
  • Services:
Anzeige
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Ashley Madison: Hacker knacken 11,2 Millionen Passwörter

Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Die Login-Dateien im Ashley-Madison-Fundus galten bislang als sicher, weil der Anbieter eine sichere Hashfunktion verwendet haben soll. Doch jetzt haben Hacker eine Schwachstelle gefunden, um einen Teil der Passwörter zu knacken.

Anzeige

Hackern ist es gelungen, 11,2 Millionen Klartext-Passwörter aus den Nutzerdaten des Ashley-Madison-Leaks zu extrahieren. Nach dem Hack des Seitensprungportals Ashley Madison im August gab es viele Versuche, die verwendeten Passwörter zu knacken. Doch weil die Macher der Seite bcrypt verwendet haben sollen, gelang dies zunächst nicht.

Ein direkter Angriff auf die vorliegenden bcrypt-Hashes erschien auch der Gruppe Cynosureprime als zu kompliziert. Sie nutzten weitere Informationen aus den Git-Dumps, um ihren Angriff auszuführen. Fündig wurden sie schließlich in der Zusammensetzung der $loginkey-Variable.

Nur MD5 statt bcrypt verwendet

Im Quellcode der Datei amlib_member_create.function.php fand sich in Zeile 70 der Hinweis, dass $loginkey durch einfaches Hashen des kleingeschriebenen Login-Namens und des Passworts gebildet wurde. Verwendet wurde entgegen der Ansage in Zeile 69 des Codes eben nicht bcrypt, sondern nur MD5. Ein Blick in die Historie des Quellcodes verriet den Forschern dann, dass bcrypt erst seit dem 14. Juni 2012 verwendet wird.

Alle vor diesem Datum angelegten Passwörter konnten also durch die Anwendung einer gesalzenen MD5-Funktion geknackt werden. Da zur Umwandlung der Nutzernamen in Kleinbuchstaben das Modul strtolower() verwendet wurde, war die Zeichenkodierung auf die 26 Buchstaben des Alphabets begrenzt. Dies verkleinerte den erforderlichen Rechenaufwand weiter.

Nutzer, die ihre Daten änderten, sind angreifbar

Eine weitere Entdeckung machten die Hacker bei der Untersuchung der Datei AccountProvider.php, die für die generateLoginKey()-Funktion zuständig ist. In den Zeilen 78 und 79 wird hier beschrieben, wie der Wert zustande kommt. Neben dem Benutzernamen und dem Passwort wurden die Email-Adresse und ein gesalzener Hash verwendet. Der gesamte String wurde dann wiederum mit MD5 gehasht. Auch hier wurde bcrypt also nicht durchgehend verwendet: Nicht immer wurde das Passwort vor der Übergabe an die generateLoginKey()-Funktion tatsächlich mit bcrypt gehasht.

Auch der zweite Angriff konnte nicht auf alle Datensätze angewendet werden: Denn generateLoginKey kam nur zum Einsatz, wenn Nutzer Veränderungen an ihren Nutzerdaten vorgenommen, also etwa Passwort oder E-Mail-Adresse geändert hatten.

Daten aus SQL-Datenbank extrahiert

Um die Angriffe durchführen zu können, mussten die angreifbaren Datensätze aus den SQL-Datenbanken extrahiert werden. Um den Rechenaufwand zu reduzieren, entfernten die Hacker alle Login-Daten, die nicht in ihr Angriffsschema passten. Dies war relativ einfach, da Nutzernamen und die tatsächlich mit bcrypt gehashten Passwörter aus vorigen Untersuchungen bekannt waren.

Die durch Berechnung gelösten MD5-Tokens enthielten jedoch noch nicht die Passwörter im Klartext, sondern nur die dekapitalisierten Passwörter. In einem letzten Schritt mussten also alle Zeichen der geknackten Passwörter in Groß- und Kleinschreibung gegen den originalen bcrypt-Hash geprüft werden.

Mit dieser Methode gelang es dem Cynosureprime-Team nach eigenen Angaben, 11.2 Millionen Passwörter innerhalb weniger Tage zu knacken.


eye home zur Startseite
bst (golem.de) 10. Sep 2015

Liebe Leser, wegen der erschreckend hohen Anzahl menschenverachtender Kommentare in den...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Regensburg, Neutraubling
  2. Universität Passau, Passau
  3. Allianz Deutschland AG, München-Unterföhring
  4. Löwenstein Medical Technology GmbH + Co. KG, Karlsruhe


Anzeige
Hardware-Angebote
  1. (nur in den Bereichen "Mainboards", "Smartphones" und "TV-Geräte")

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  2. TLS-Zertifikate

    Symantec verpeilt es schon wieder

  3. Werbung

    Vodafone will mit DVB-T-Abschaltung einschüchtern

  4. Zaber Sentry

    Mini-ITX-Gehäuse mit 7 Litern Volumen und für 30-cm-Karten

  5. Weltraumteleskop

    Erosita soll Hinweise auf Dunkle Energie finden

  6. Anonymität

    Protonmail ist als Hidden-Service verfügbar

  7. Sicherheitsbehörde

    Zitis soll von München aus Whatsapp knacken

  8. OLG München

    Sharehoster Uploaded.net haftet nicht für Nutzerinhalte

  9. Linux

    Kernel-Maintainer brauchen ein Manifest zum Arbeiten

  10. Micro Machines Word Series

    Kleine Autos in Kampfarenen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

  1. Re: Ist das ein IMHO?

    razer | 23:12

  2. Re: Sich nicht von der Angst anstecken lassen!

    Ganta | 23:12

  3. Re: Na, das ist doch mal innovativ!

    Der Spatz | 23:12

  4. Re: Die Karte... Californien...

    Der Spatz | 23:05

  5. Re: Standortfrage

    derKlaus | 23:04


  1. 19:03

  2. 18:45

  3. 18:27

  4. 18:12

  5. 17:57

  6. 17:41

  7. 17:24

  8. 17:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel