• IT-Karriere:
  • Services:

Ashley Madison: Hacker knacken 11,2 Millionen Passwörter

Die Login-Dateien im Ashley-Madison-Fundus galten bislang als sicher, weil der Anbieter eine sichere Hashfunktion verwendet haben soll. Doch jetzt haben Hacker eine Schwachstelle gefunden, um einen Teil der Passwörter zu knacken.

Artikel veröffentlicht am ,
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken.
Hacker konnten 11 Millionen Passwörter aus den Ashley-Madison-Daten knacken. (Bild: Carl Court / Getty Images News)

Hackern ist es gelungen, 11,2 Millionen Klartext-Passwörter aus den Nutzerdaten des Ashley-Madison-Leaks zu extrahieren. Nach dem Hack des Seitensprungportals Ashley Madison im August gab es viele Versuche, die verwendeten Passwörter zu knacken. Doch weil die Macher der Seite bcrypt verwendet haben sollen, gelang dies zunächst nicht.

Stellenmarkt
  1. BAM Bundesanstalt für Materialforschung und -prüfung, Berlin-Steglitz
  2. über Hays AG, Ulm

Ein direkter Angriff auf die vorliegenden bcrypt-Hashes erschien auch der Gruppe Cynosureprime als zu kompliziert. Sie nutzten weitere Informationen aus den Git-Dumps, um ihren Angriff auszuführen. Fündig wurden sie schließlich in der Zusammensetzung der $loginkey-Variable.

Nur MD5 statt bcrypt verwendet

Im Quellcode der Datei amlib_member_create.function.php fand sich in Zeile 70 der Hinweis, dass $loginkey durch einfaches Hashen des kleingeschriebenen Login-Namens und des Passworts gebildet wurde. Verwendet wurde entgegen der Ansage in Zeile 69 des Codes eben nicht bcrypt, sondern nur MD5. Ein Blick in die Historie des Quellcodes verriet den Forschern dann, dass bcrypt erst seit dem 14. Juni 2012 verwendet wird.

Alle vor diesem Datum angelegten Passwörter konnten also durch die Anwendung einer gesalzenen MD5-Funktion geknackt werden. Da zur Umwandlung der Nutzernamen in Kleinbuchstaben das Modul strtolower() verwendet wurde, war die Zeichenkodierung auf die 26 Buchstaben des Alphabets begrenzt. Dies verkleinerte den erforderlichen Rechenaufwand weiter.

Nutzer, die ihre Daten änderten, sind angreifbar

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
Weitere IT-Trainings

Eine weitere Entdeckung machten die Hacker bei der Untersuchung der Datei AccountProvider.php, die für die generateLoginKey()-Funktion zuständig ist. In den Zeilen 78 und 79 wird hier beschrieben, wie der Wert zustande kommt. Neben dem Benutzernamen und dem Passwort wurden die Email-Adresse und ein gesalzener Hash verwendet. Der gesamte String wurde dann wiederum mit MD5 gehasht. Auch hier wurde bcrypt also nicht durchgehend verwendet: Nicht immer wurde das Passwort vor der Übergabe an die generateLoginKey()-Funktion tatsächlich mit bcrypt gehasht.

Auch der zweite Angriff konnte nicht auf alle Datensätze angewendet werden: Denn generateLoginKey kam nur zum Einsatz, wenn Nutzer Veränderungen an ihren Nutzerdaten vorgenommen, also etwa Passwort oder E-Mail-Adresse geändert hatten.

Daten aus SQL-Datenbank extrahiert

Um die Angriffe durchführen zu können, mussten die angreifbaren Datensätze aus den SQL-Datenbanken extrahiert werden. Um den Rechenaufwand zu reduzieren, entfernten die Hacker alle Login-Daten, die nicht in ihr Angriffsschema passten. Dies war relativ einfach, da Nutzernamen und die tatsächlich mit bcrypt gehashten Passwörter aus vorigen Untersuchungen bekannt waren.

Die durch Berechnung gelösten MD5-Tokens enthielten jedoch noch nicht die Passwörter im Klartext, sondern nur die dekapitalisierten Passwörter. In einem letzten Schritt mussten also alle Zeichen der geknackten Passwörter in Groß- und Kleinschreibung gegen den originalen bcrypt-Hash geprüft werden.

Mit dieser Methode gelang es dem Cynosureprime-Team nach eigenen Angaben, 11.2 Millionen Passwörter innerhalb weniger Tage zu knacken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote

bst (golem.de) 10. Sep 2015

Liebe Leser, wegen der erschreckend hohen Anzahl menschenverachtender Kommentare in den...


Folgen Sie uns
       


Outriders angespielt

Im Video stellt Golem.de das von People Can Fly entwickelte Actionspiel Outriders vor.

Outriders angespielt Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /