Abo
  • Services:
Anzeige
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Ashley Madison: Hacker knacken 11,2 Millionen Passwörter

Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Die Login-Dateien im Ashley-Madison-Fundus galten bislang als sicher, weil der Anbieter eine sichere Hashfunktion verwendet haben soll. Doch jetzt haben Hacker eine Schwachstelle gefunden, um einen Teil der Passwörter zu knacken.

Anzeige

Hackern ist es gelungen, 11,2 Millionen Klartext-Passwörter aus den Nutzerdaten des Ashley-Madison-Leaks zu extrahieren. Nach dem Hack des Seitensprungportals Ashley Madison im August gab es viele Versuche, die verwendeten Passwörter zu knacken. Doch weil die Macher der Seite bcrypt verwendet haben sollen, gelang dies zunächst nicht.

Ein direkter Angriff auf die vorliegenden bcrypt-Hashes erschien auch der Gruppe Cynosureprime als zu kompliziert. Sie nutzten weitere Informationen aus den Git-Dumps, um ihren Angriff auszuführen. Fündig wurden sie schließlich in der Zusammensetzung der $loginkey-Variable.

Nur MD5 statt bcrypt verwendet

Im Quellcode der Datei amlib_member_create.function.php fand sich in Zeile 70 der Hinweis, dass $loginkey durch einfaches Hashen des kleingeschriebenen Login-Namens und des Passworts gebildet wurde. Verwendet wurde entgegen der Ansage in Zeile 69 des Codes eben nicht bcrypt, sondern nur MD5. Ein Blick in die Historie des Quellcodes verriet den Forschern dann, dass bcrypt erst seit dem 14. Juni 2012 verwendet wird.

Alle vor diesem Datum angelegten Passwörter konnten also durch die Anwendung einer gesalzenen MD5-Funktion geknackt werden. Da zur Umwandlung der Nutzernamen in Kleinbuchstaben das Modul strtolower() verwendet wurde, war die Zeichenkodierung auf die 26 Buchstaben des Alphabets begrenzt. Dies verkleinerte den erforderlichen Rechenaufwand weiter.

Nutzer, die ihre Daten änderten, sind angreifbar

Eine weitere Entdeckung machten die Hacker bei der Untersuchung der Datei AccountProvider.php, die für die generateLoginKey()-Funktion zuständig ist. In den Zeilen 78 und 79 wird hier beschrieben, wie der Wert zustande kommt. Neben dem Benutzernamen und dem Passwort wurden die Email-Adresse und ein gesalzener Hash verwendet. Der gesamte String wurde dann wiederum mit MD5 gehasht. Auch hier wurde bcrypt also nicht durchgehend verwendet: Nicht immer wurde das Passwort vor der Übergabe an die generateLoginKey()-Funktion tatsächlich mit bcrypt gehasht.

Auch der zweite Angriff konnte nicht auf alle Datensätze angewendet werden: Denn generateLoginKey kam nur zum Einsatz, wenn Nutzer Veränderungen an ihren Nutzerdaten vorgenommen, also etwa Passwort oder E-Mail-Adresse geändert hatten.

Daten aus SQL-Datenbank extrahiert

Um die Angriffe durchführen zu können, mussten die angreifbaren Datensätze aus den SQL-Datenbanken extrahiert werden. Um den Rechenaufwand zu reduzieren, entfernten die Hacker alle Login-Daten, die nicht in ihr Angriffsschema passten. Dies war relativ einfach, da Nutzernamen und die tatsächlich mit bcrypt gehashten Passwörter aus vorigen Untersuchungen bekannt waren.

Die durch Berechnung gelösten MD5-Tokens enthielten jedoch noch nicht die Passwörter im Klartext, sondern nur die dekapitalisierten Passwörter. In einem letzten Schritt mussten also alle Zeichen der geknackten Passwörter in Groß- und Kleinschreibung gegen den originalen bcrypt-Hash geprüft werden.

Mit dieser Methode gelang es dem Cynosureprime-Team nach eigenen Angaben, 11.2 Millionen Passwörter innerhalb weniger Tage zu knacken.


eye home zur Startseite
bst (golem.de) 10. Sep 2015

Liebe Leser, wegen der erschreckend hohen Anzahl menschenverachtender Kommentare in den...



Anzeige

Stellenmarkt
  1. Automotive Safety Technologies GmbH, Gaimersheim
  2. T-Systems International GmbH, Leinfelden-Echterdingen
  3. Experis GmbH, Kiel
  4. Werner Sobek Group GmbH, Stuttgart


Anzeige
Spiele-Angebote
  1. (-20%) 31,99€
  2. (-75%) 2,49€
  3. (-78%) 8,99€

Folgen Sie uns
       


  1. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  2. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  3. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  4. FTP-Client

    Filezilla bekommt ein Master Password

  5. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  6. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  7. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  8. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  9. Rockstar Games

    Waffenschiebereien in GTA 5

  10. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Performance ist mies

    Haxx | 10:37

  2. Re: Volumenbegrenzungen abschaffen

    Tet | 10:35

  3. Re: Siri und diktieren

    rabatz | 10:24

  4. Re: Mal ne dumme Gegenfrage:

    Apfelbrot | 10:13

  5. Re: Was habe ich von Netzneutralität als Kunde?

    sundown73 | 10:11


  1. 10:35

  2. 12:54

  3. 12:41

  4. 11:44

  5. 11:10

  6. 09:01

  7. 17:40

  8. 16:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel