Ashley Madison: Hacker knacken 11,2 Millionen Passwörter

Die Login-Dateien im Ashley-Madison-Fundus galten bislang als sicher, weil der Anbieter eine sichere Hashfunktion verwendet haben soll. Doch jetzt haben Hacker eine Schwachstelle gefunden, um einen Teil der Passwörter zu knacken.

Artikel veröffentlicht am ,
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Hackern ist es gelungen, 11,2 Millionen Klartext-Passwörter aus den Nutzerdaten des Ashley-Madison-Leaks zu extrahieren. Nach dem Hack des Seitensprungportals Ashley Madison im August gab es viele Versuche, die verwendeten Passwörter zu knacken. Doch weil die Macher der Seite bcrypt verwendet haben sollen, gelang dies zunächst nicht.

Ein direkter Angriff auf die vorliegenden bcrypt-Hashes erschien auch der Gruppe Cynosureprime als zu kompliziert. Sie nutzten weitere Informationen aus den Git-Dumps, um ihren Angriff auszuführen. Fündig wurden sie schließlich in der Zusammensetzung der $loginkey-Variable.

Nur MD5 statt bcrypt verwendet

Im Quellcode der Datei amlib_member_create.function.php fand sich in Zeile 70 der Hinweis, dass $loginkey durch einfaches Hashen des kleingeschriebenen Login-Namens und des Passworts gebildet wurde. Verwendet wurde entgegen der Ansage in Zeile 69 des Codes eben nicht bcrypt, sondern nur MD5. Ein Blick in die Historie des Quellcodes verriet den Forschern dann, dass bcrypt erst seit dem 14. Juni 2012 verwendet wird.

Alle vor diesem Datum angelegten Passwörter konnten also durch die Anwendung einer gesalzenen MD5-Funktion geknackt werden. Da zur Umwandlung der Nutzernamen in Kleinbuchstaben das Modul strtolower() verwendet wurde, war die Zeichenkodierung auf die 26 Buchstaben des Alphabets begrenzt. Dies verkleinerte den erforderlichen Rechenaufwand weiter.

Nutzer, die ihre Daten änderten, sind angreifbar

Eine weitere Entdeckung machten die Hacker bei der Untersuchung der Datei AccountProvider.php, die für die generateLoginKey()-Funktion zuständig ist. In den Zeilen 78 und 79 wird hier beschrieben, wie der Wert zustande kommt. Neben dem Benutzernamen und dem Passwort wurden die Email-Adresse und ein gesalzener Hash verwendet. Der gesamte String wurde dann wiederum mit MD5 gehasht. Auch hier wurde bcrypt also nicht durchgehend verwendet: Nicht immer wurde das Passwort vor der Übergabe an die generateLoginKey()-Funktion tatsächlich mit bcrypt gehasht.

Auch der zweite Angriff konnte nicht auf alle Datensätze angewendet werden: Denn generateLoginKey kam nur zum Einsatz, wenn Nutzer Veränderungen an ihren Nutzerdaten vorgenommen, also etwa Passwort oder E-Mail-Adresse geändert hatten.

Daten aus SQL-Datenbank extrahiert

Um die Angriffe durchführen zu können, mussten die angreifbaren Datensätze aus den SQL-Datenbanken extrahiert werden. Um den Rechenaufwand zu reduzieren, entfernten die Hacker alle Login-Daten, die nicht in ihr Angriffsschema passten. Dies war relativ einfach, da Nutzernamen und die tatsächlich mit bcrypt gehashten Passwörter aus vorigen Untersuchungen bekannt waren.

Die durch Berechnung gelösten MD5-Tokens enthielten jedoch noch nicht die Passwörter im Klartext, sondern nur die dekapitalisierten Passwörter. In einem letzten Schritt mussten also alle Zeichen der geknackten Passwörter in Groß- und Kleinschreibung gegen den originalen bcrypt-Hash geprüft werden.

Mit dieser Methode gelang es dem Cynosureprime-Team nach eigenen Angaben, 11.2 Millionen Passwörter innerhalb weniger Tage zu knacken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Vision Pro
Apples Mixed-Reality-Taucherbrille kostet 3.500 US-Dollar

Apples erstes Headset kann AR- und VR-Inhalte stufenlos überblenden, hat eine Hand- und Augensteuerung und einen externen Akku.

Vision Pro: Apples Mixed-Reality-Taucherbrille kostet 3.500 US-Dollar
Artikel
  1. Ukrainekrieg: Entwarnung für AKW Saporischschja nach Staudammzerstörung
    Ukrainekrieg
    Entwarnung für AKW Saporischschja nach Staudammzerstörung

    Die Zerstörung eines Staudamms am Dnipro könnte sich auf die Kühlung des größten AKWs Europas auswirken. Die IAEA versucht zu beruhigen.

  2. Diablo 4 im Test: Blizzards Meisterwerk definiert das Genre neu
    Diablo 4 im Test
    Blizzards Meisterwerk definiert das Genre neu

    Unsere Hoffnungen bewahrheiten sich: Diablo 4 ist der beste Teil der exzellenten Spieleserie, an der sich auch Konkurrenten messen müssen.
    Ein Test von Oliver Nickel

  3. Podcast Besser Wissen: Wunderakkus und das Akkuwunder
    Podcast Besser Wissen
    Wunderakkus und das Akkuwunder

    Unmögliche Technologien und die realen Fortschritte in der Akkutechnik besprechen wir in unserem Podcast.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5-Spiele & Zubehör bis -75% • Samsung 990 Pro 1TB (PS5) 94€ • AirPods 2 125€ • Crucial SSD 1TB 41,99€ • Thrustmaster T300 RS 299,99€ • Powerbank 20.000 mAH -58% • PS5 inkl. Spiel 549€ • MSI RTX 4070 Ti 999€ • MindStar: AMD Ryzen 7 5800X3D 285€, RX 7900 XTX 989€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /