Thema: Massenhacks von Webseiten ...

[SiLæncer]

Cracker haben eine dem Anschein nach bislang unbekannte Sicherheitslücke in der Hosting-Konfigurationssoftware cPanel ausgenutzt, um beim Webhoster HostGator gespeicherte Kundenseiten zu manipulieren. Nach Angaben des Dienstleisters und Internet-Statistikers Netcraft erhielten die Angreifer über die Lücke Root-Zugriff und bauten in zahlreiche Webseiten IFrames ein, die Besucher auf infizierte externe Webseiten umleiteten. Dort sollte Anwendern des Internet Explorer über die noch nicht gepatchte VML-Lücke Schadcode auf den PC geschoben werden. Allerdings bemerkte HostGator schnell die Manipulation und benachrichtigte am gestrigen Samstag seine Kunden über das Problem. Wie viele Besucher sich mit Schädlingen infiziert haben, ist unbekannt.

Der Hersteller der cPanel-Software hat unterdessen ein Perl-Skript bereit gestellt, das die Lücke schließen soll. Worauf das Problem beruht, ist unklar, einen offiziellen Fehlerbericht gibt es noch nicht. Im Forum des Herstellers tauschen sich Anwender aber bereits über Maßnahmen aus. Betroffen sollen alle aktuellen und älteren cPanel-Versionen Stable, Release, Current und Edge sein. Allerdings soll sich die Root-Lücke nur ausnutzen lassen, wenn der Angreifer über ein lokales cPanel-Konto eines Kunden verfügt. Andere Webhoster dürften ebenfalls bedroht sein.

Anwender des Internet Explorer können sich vor Angriffen auf die VML-Lücke schützen, indem sie die Bibliothek vgx.dll deaktivieren. Wie das geht, beschreibt Microsoft in einem eigenen Fehlerbericht. Unabhängige Sicherheitsspezialisten haben zudem einen temporären Patch für die VML-Lücke im Internet Explorer entwickelt und veröffentlicht. Allerdings rät Microsoft von der Installation inoffizieller Patches ab. Hier liegt es im Ermessen des Anwenders, ob er dem Dritthersteller und dessen Tests über die Funktionalität vertraut, um nicht bis zum nächsten Patchday verwundbar zu bleiben. Offiziell kündigen die Redmonder ein Update für den 10. Oktober an. Laut Microsoft ist ein früherer Termin aber möglich -- "depending on customer needs"; allerdings ohne zu Verraten, ab wann dieser Zustand erreicht ist.

Quelle : www.heise.de

[SiLæncer]

Zahlreiche offizielle Webseiten von bei Sony BMG unter Vertrag stehenden Künstlern sind heute Nacht gehackt worden. So sind etwa auf den Seiten von Justin Timberlake (wo Sony BMG offensichtlich begonnen hat, das Defacement zu korrigieren), Christina Aguilera, Britney Spears, Alicia Keys, Aerosmith und vielen anderen statt der Biografie, Beschreibungen zum aktuellen Album und Tourneedaten nur ein "XTech Inc Owned the Music Industry... and the rest of it" zu finden. Es sind aber auch zahreiche Seiten von Künstlern dem Massen-Defacement zum Opfer gefallen, die nicht bei Sony BMG unter Vertrag stehen.



Sony BMG ist über den Vorfall informiert und versucht die Seiten wieder herzustellen. Wie die Startseiten genau manipuliert wurden, ist nicht bekannt. Man wisse auch noch nicht, ob eine Schwachstelle in der Software ausgenutzt wurde.

Schaut man auf Zone-H in das Defacement-Archiv, ist die Gruppe XTech Inc in den vergangenen zwei Tagen sehr aktiv beim Manipulieren von Webseiten gewesen. Das lässt auf ein automatisiertes Defacement schließen, bei der in der Regel eine weit verbreitete Webanwendung angegegriffen wird. Meist dringen die Täter beim Defacement aber nicht vollständig in den Server ein, um ihn unter ihre Kontrolle zu bringen, sondern tauschen nur die index.html gegen eine Seite mit eigenen Inhalten aus.

Quelle : www.heise.de

[SiLæncer]

Der Sicherheitsdienstleister Websense hat nach eigenen Angaben Massenhacks von Webseiten beobachtet, bei denen Kriminelle eigene JavaScripte in die Seiten eingebettet haben. Besucher der Seiten werden laut Bericht auf eine Domain umgeleitet, die einen ähnlich klingenden Namen wie google-analytics.com hat. Dort versucht ein Server mit mehreren Exploits für den Internet Explorer, Firefox und QuickTime den PC des Besuchers zu infizieren. Der Server soll in der Ukraine beheimatet sein. Laut Websense ist die Erkennungsquote für den beobachteten Schädling noch relativ gering. Bislang sollen mehrere zehntausend legitime Webseiten manipuliert worden sein.

Wie es den Kriminellen gelang, ihren Code in die Seiten zu schleusen, ist noch nicht klar. Vermutlich nutzten sie SQL-Injection-Schwachstellen in Webanwendungen auf den Servern aus oder erspähten FTP-Zugangsdaten. Administratoren erkennen eine Infektion ihrer Webseite am stark "obfuszierten" JavaScript-Code. Einen Eindruck davon bekommt man im Original-Bericht von Websense.

Bereits seit Mitte Mai versucht eine andere Gruppe Krimineller auf ähnlichem Wege, Anwender zu infizieren. Dazu schreiben sie ihre verschleierten JavaScripte in HTML-Seiten. Bei dieser auch unter dem Namen Gumblar bekannt gewordenen Attacke manipuliert anschließend ein Trojaner die im Browser des Opfers angezeigten Ergebnisse einer Google-Suche, um auf weitere gefährliche Seiten zu lenken. Gumblar nutzt laut Berichten Lücken in Adobe Reader und Adobe Flash aus und kann weitere Webseiten durch das Ausspähen von FTP-Zugangsdaten selbstständig manipulieren. Der Gumblar-Attacke sollen laut ScanSafe ebenfalls mehrere zehntausend Webseiten zum Opfer gefallen sein.

Siehe dazu auch:

    * Mass Injection Compromises More than Twenty-Thousand Web Sites, Meldung von Websense

Quelle : www.heise.de

[SiLæncer]

In den letzten Tagen wurden zahlreiche große Websites Opfer eines Massen-Hacks. Dieser verseuchte die betroffenen Seiten - darunter die Web-Präsenzen von Zeitungen, Behörden und wichtigen Unternehmen - mit Malware-Links.

Insgesamt sollen mehr als 100.000 Seiten betroffen gewesen sein. Auf den betroffenen Seiten wurden Links eingefügt, die Besucher auf Seiten weiterleiteten, auf denen Malware verbreitet wird. Betroffen waren Websites, die ein Banner-Ad-Modul in Verbindung mit Microsofts Internet Information Services unter ASP.net verwenden. Das berichtet David Dede, Malware-Experte bei der Monitoring-Firma Securi.

Unter anderem wurden das Wall Street Journal, die The Jerusalem Post, eine britische Polizeidirektion und die Website des Navigationssystems TomTom Opfer dieses Massenhacks. Offenbar wurde SQL Injection verwendet, um iFrames in den kompromittierten Bannern zu platzieren. Auf den Zielseiten wurde JavaScript verwendet, um den Rechner des Opfers mit einer Malware namens "Mal/Behav-290" zu infizieren.

Die meisten der betroffenen Seiten sind mittlerweile gesäubert; laut Dede sind nur noch gut 7000 infizierte Seiten auffindbar. Die Websites, auf denen die Malware gehostet wurde, wurden durch Bemühungen der Freiwilligen-Gruppe Shadowserver Foundation vom Netz genommen.

Der Bericht der Firma Securi ist im Internet erhältlich.

Quelle : www.gulli.com

[SiLæncer]

Die seit rund einer Woche registrierten Massenhacks von Webseiten haben neuesten Analysen zufolge zum Ziel, Online-Gamern die Zugangsdaten für Spiele zu stehlen. Prominenteste Opfer  der Hacks waren das Wall Street Journal und die Jerusalem Post.

Bei den Webservern handelt es sich zwar durchgehend um Systeme auf Basis von Microsofts Internet Information Server (IIS) und ASP.NET, den Untersuchungen mehrerer Sicherheitsdienstleister zufolge manipulierten die Angreifer die Webseiten aber offenbar über SQL-Injection-Schwachstellen in den selbst geschriebenen Webanwendungen der Betreiber. Administratoren sollten ihre Systeme auf mögliche Manipulationen überprüfen.

Durch die SQL-Injection-Schwachstelle waren (und sind) die Angreifer in der Lage, eigenen HTML-Code und JavaScript in die Datenbank des Content Management Systems (CMS) zu schreiben. Konkret betteten sie Code ein, der in einem iFrame einen Exploit für eine seit über einer Woche bekannte Lücke im Flash Player nachlädt. Darüber versuchen die Kriminellen, die PCs von Besuchern mit Trojanern zu infizieren. Der hat vermutlich zum Ziel, die Zugangsdaten zu asiatischen Spieleseiten wie aion.plaync.co.kr, aion.plaync.jp und df.nexon.com zu stehlen. Die Lücke im Flash Player ist in Version 10.1 geschlossen.

Bei ihrem Angriff gingen die Täter nach Angaben des Web-Application-Firewall-Herstellers (WAF) Armorize sehr geplant vor. Vor der eigentlichen SQL-Injection hätten Skripte zunächst nach möglichen verwundbaren Systemen gesucht, um sie dann später mit der Zero-Day-Exploit zu infizieren. Dabei seien laut Armorize auch Techniken zum Austricksen von Web-Application-Firewall eingesetzt worden.

Urheber der Angriffe soll vermutlich eine unter dem Namen dnf666 bekannte Gruppe aus China sein, die auch schon im März der Urheber einer größeren SQL-Injection-Attacke gewesen sein soll.

Quelle : www.heise.de

[SiLæncer]

Kriminelle haben über eine automatisierte SQL-Injection-Attacke hunderttausende von Webseiten manipuliert und dabei Links zu Domains mit Scareware eingebettet. Besucher einer infizierten Webseiten bekamen dann unter Umständen eine weitere Seite zu Gesicht, in der ein vorgeblicher Viren-Scanner eine Infektion des Systems vorgaukelte.

Unklar ist allerdings, in wievielen Fällen es den Kriminellen gelang, die Links so einzubauen, dass sie auch wirklich funktionierten. Durch die relativ ungezielte SQL-Injection-Attacke auf Inhaltsdatenbanken von Content-Management-Systemen gelangten die Links in vielen Fällen in Felder, in denen sie bei der Darstellung überhaupt nicht interpretiert und damit auch nicht abgerufen werden – beispielsweise im Titel einer Seite. Die URLs fanden sich nach Angaben von Websense auch in einige URLs zu itunes-Podcasts, die ihren Weg dorthin eventuell über manipulierte RSS-Feeds des jeweiligen Anbieters fanden. Auch dort lief der Angriff offenbar jedoch ins Leere, weil der Browser die injizierten Links nicht interpretierte.

Zu den URLs gehörte unter anderem eine Adresse in der Domain lizamoon.com, weshalb der Vorfall von vielen Sicherheitsexperten als lizamoon-Attacke bezeichnet wird. Die Domains sind mittlerweile nicht mehr erreichbar. Der Sicherheitsspezialist Dancho Danchev hat eine nähere Analyse aller bei der Scareware-Kampagne benutzten Domains veröffentlicht. Sie führten nach seinen Angaben letztlich alle auf eine einzige IP-Adresse. Die Domains wurden erst vor wenigen Tagen über automatisch registrierte Google-Mail-Konten beantragt.

Betreiber von Webservern sollten ihre Webseiten auf injizierte JavaScript-Tags mit Links wie

Code: [Auswählen]

<script src=http://lizamoon.com/ur.php></script>

hin untersuchen und diese entfernen. Zusätzlich gilt es, die SQL-Injection-Lücke zu finden, durch die sich die Inhalte einschmuggeln ließen. Unter Umständen kann es genügen, eine aktuelle Version der benutzten Webanwendung zu installieren, möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.

Quelle : www.heise.de

[ritschibie]

... möglicherweise muss man sich auch professionelle Hilfe holen und die Anwendung von einem Code-Auditor oder Penetration-Tester untersuchen lassen.

Hoffe ja nicht, dass der Würfel zu den befallenen Seiten gehört/e 

Aber diese Berufsfelder kannte ich noch nicht: Code-Auditor und Penetration-Tester (ersteres hätte ich eher der Magen/Darm-Schnüffler Berufsgenossenschaft, letzteres eher der Porno-Branche zugeordnet  )

[SiLæncer]

Bei einem Einbruch in die Systeme eines australischen Webhosters sind knapp 5.000 Webpräsenzen zerstört worden. Die Angreifer gingen so vor, dass sich die Daten nicht mehr herstellen lassen.

Nach einem Angriff auf die Systeme des australischen Webhosters und Registrars Distribute.IT sind die Daten von knapp 5.000 Websites endgültig verloren. Vier Server seien derart in Mitleidenschaft gezogen worden, dass sich die Daten nicht mehr herstellen ließen, teilte das Unternehmen mit.

Unbekannte waren am 11. Juni 2011 in die Systeme von Distribute.IT eingedrungen. Die Angreifer seien koordiniert vorgegangen, um "so viel Schaden wie möglich an unseren Systemen und an unserer Software" anzurichten. Der Angriff sei präzise durchgeführt worden und habe nur eine kurze Zeit gedauert. Ziel waren die Datensysteme der Server, wodurch die Angreifer trotz der kurzen Zeit einen immensen Schaden anrichteten. Sie hätten damit auch Backups und alle weiteren Daten zerstört, die für eine Wiederherstellung der Server nötig gewesen wären. Betroffen waren 4.800 Domains und Kundenkonten.

Die Experten für die Wiederherstellung von Daten hätten rund um die Uhr gearbeitet, um die Daten zu retten. Die Chancen, dass sich die Daten von den vier genannten Servern noch retten ließen, seien aber sehr gering. "Wir bedauern, jetzt mitteilen zu müssen, dass alle Experten die Daten, Sites und E-Mails, die auf Drought, Hurricane, Blizzard und Cyclone gehostet wurden, für verloren halten."

Nach dem Angriff verfügt Distribute.IT nicht mehr über die Speicherkapazität, um die betroffenen Domains und Kundenkonten weiter selbst zu hosten. Das Unternehmen wird die Betroffenen nach eigenen Angaben dabei unterstützen, zu anderen Anbietern umzuziehen.

Quelle : www.golem.de

[berti]

bin zwar kein Experte aber: sollten Backups nicht dezentral gelagert werden und in niemals auf der gleichen Maschine(nverbund) gelagert werden ? war da nicht was mit monatlichen voll-backup und dann incremential backup?
Und wieso kann jemand via remote auf die backup-teile zugreifen?

so leid es mir tut, da scheint aber einiges schief gegangen zu sein, der entsprechende Admin hat seinen Job nicht allzu gut gemacht.


Kleines Beispiel aus der Praxis: Hier werden regelmäßig ca 36-110 TB aus der Renderfarm gesichert -> geht zuerst auf nen Spectra nTier700 für monatlichen/ wöchentlichen/ täglichen Backup, -> danach weiter auf nen Spectra T50e /LTO 5. Beide Teile können nur vor Ort gestartet/verändert werden und arbeiten nur im Pull-Verfahren, fürs zurück spielen gibt es eine weitere Station. Die Bänder werden in nen Tresor gelagert, also auch hier kaum Zugriff. OK, das ist zwar keine Lösung für den Hausgebrauch, aber auch nicht soo teuer wenn man mal die Preise für die andere Hardware oder einen Ausfall betrachtet.


edit: hab mir grade mal den Preis für eine Stunde Ausfall unserer Server nennen lassen, liegt bei ca 70-160 tausend $  

[SiLæncer]

sollten Backups nicht dezentral gelagert werden und in niemals auf der gleichen Maschine(nverbund) gelagert werden ? war da nicht was mit monatlichen voll-backup und dann incremential backup?

Korrekt ...so hab ich das auch mal gelernt ...ist mir echt unbegreiflich was da gelaufen ist ...

[Jürgen]

Na gut, das wären etwas zu viele Daten für eine eSATA Platte.
Auf die Art führe jedenfalls ich die physische Trennung von Original und Sicherungen durch.
Der Rest geht per pedes...

Berti hat ja so recht.
In jedem Rechenzentrum müsste es möglich sein, die Server über eine unabhängige Vernetzung von einen Zwischenspeicher aus zu spiegeln, dann diese Vernetzung zu trennen und erst jetzt die Spiegelung über eine weitere nur dann herzustellende exklusive Verbindung den ersten Backup-Speicher schreiben zu lassen. Und so weiter.
Diese Verbindungen müssten jeweils von der Ziel-Maschine hergestellt und getrennt werden.
Und zum eventuellen Zurückspielen wird ohnehin ein administratives Eingreifen vorausgesetzt, natürlich ebenfalls über nicht permanente aber gesicherte Verbindungen, die nicht vom zu sichernden System aus verwaltet werden.
Eine höhere Sicherheit als nur die von Firewalls und Intrusion Detection Systemen am Server liesse sich auch erreichen, indem für die temporären Verbindungen verwendete Gerätschaften (Router o.ä.) zumindest teilweise von den Sicherungszielen aus ferngesteuerte Netzschalter bekommen. Das könnte sogar direkt per Telefonnetz geschehen, statt per Internet...
Im Regelfall ist Sicherung zeitlich geplant, also spielt eine kurze Boot-Phase keine Rolle.
Und beim Zurückspielen im Ernstfall wohl auch nicht wirklich.
Sinnvollerweise nutzt man, wenn ortsfremde Anbindung gefragt ist, physisch getrennte Netz(zugäng)e.
Und natürlich darf der zu sichernde Server die Sicherungsgeräte gar nicht kennen, sodass von ihm aus keine Erkenntnisse darüber zu gewinnen wären.

[SiLæncer]

Unbekannte haben einem Bericht von Amorize zufolge zahlreiche Onlineshops mit einer veralteten Version von osCommerce zur Verbreitung von Schadcode missbraucht. Die Angreifer nutzten mindestens drei bekannte Schwachstellen in der Version 2.2. des quelloffenen Shopsystems aus, um sich Zugriff auf die Konfigurationsoberflächen der Shops zu verschaffen. Dadurch konnten die Unbekannten zunächst ein iFrame und später JavaScript-Code auf den Seiten platzieren, der die Besucher des Onlineshops mit Schadcode infizieren sollte.

Nach Beobachtungen von Armorize gelang es den Angreifern, die Anzahl der infizierten Shopseiten innerhalb kürzester Zeit drastisch zu erhöhen: lieferte Google bei er ersten Sichtung lediglich 90.000 Suchtreffer mit dem eingebetteten Schadcode, waren es am vergangenen Sonntag nach einer Woche bereits 3,8 Millionen. Allerdings werden hierbei mitunter auch mehrere Unterseiten eines Shops gezählt. Bei einem Test von heise Security am Dienstagnachmittag lieferte Google sogar rund 4,5 Millionen infizierte Seiten, von denen 160.000 deutschsprachig waren.

In die gekaperten Seiten hatten die Täter Schadcode mit insgesamt fünf Exploits eingebettet. Die Angreifer wollten damit Lücken in Java, Adobe Reader, Windows Hilfecenter und Internet Explorer zur Infektion der Besucher ausnutzen. Zwar existieren längst Patches für diese Schwachstellen, da es die Angreifer aber gleich auf vier Programme abgesehen hatten, ist die Wahrscheinlichkeit hoch, dass doch mal einer der Besucher einen Patch versäumt hatte. Inzwischen sind die Domains, über die der Schadcode verteilt wurde, nicht mehr erreichbar.

Auch Shopbetreiber scheinen schon mal einen Patch auszulassen: osCommerce-Entwickler Harald Ponce de Leon bestätigte gegenüber heise Security, dass die für den Einbruch genutzten Lücken bereits im November vergangenen Jahres mit Update auf osCommerce 2.3 geschlossen wurden. Inzwischen steht das Shopsystem in den Versionen 2.3.1 und 3.0.1 zum Download bereit.

Quelle : www.heise.de

[SiLæncer]

Über eine Million Webseiten sind von der sogenannten "Lilupophilupop.com"-SQL-Injection betroffen, berichtet das Internet Storm Center (ISC). Die Angriffsrate steigt den Angaben zufolge stetig, noch Anfang Dezember sollen gerade einmal 80 Webseiten betroffen gewesen sein. In Deutschland belaufe sich die Zahl der betroffenen Seiten auf knapp 50.000. Laut Mark Hofman vom Storm Center richtet sich die Attacke gezielt gegen auf IIS-Webserver laufende ASP-Webseiten und Adobes ColdFusion-Middleware. Sie soll auf allen Versionen von Microsofts SQL-Datenbank (MSSQL) funktionieren.

Bei dieser SQL-Injection werden Websites so infiziert, dass sie etwa versuchen, dem Besucher Scareware unter zu schieben. Um herauszufinden, ob eine Seite befallen ist, hilft eine Google-Suche nach dem String "<script src="http://lilupophilupop.com/" unter Verwendung des "site:"-Parameters und der zu überprüfenden Website. Wird ein Ergebnis ausgeliefert, so sei die Seite infiziert. Ebenfalls könne anhand der Log-Files erkannt werden ob ein System betroffen ist. Abhilfe sollte die Sperrung der Domain Lilupophilupop.com schaffen.

Bei SQL-Injections werden Sicherheitslücken ausgenutzt, um so eigene Datenbankbefehle einzuschleusen. Diese Art von Angriffen sind laut einer Studie des Sicherheitsspezialisten Rob Rachwald die größte Schwachstelle in der Computergeschichte. Seit 2005 seien SQL-injections verantwortlich für 83 Prozent aller erfolgreicher Hacks.

Quelle : www.heise.de

[SiLæncer]

Google hat auf einen Schlag die Webmaster von 20.000 Sites darüber informiert, dass ihre Seite vermutlich gehackt wurde. Dies gab Matt Cutts, der Leiter von Googles Webspam-Team, bei Twitter bekannt. In der Mail warnt der Suchmaschinenriese davor, dass die betroffenen Seiten anscheinend genutzt werden, um die Besucher auf eine verseuchte Seite umzuleiten.

Der Empfänger der Mail wird aufgefordert, die Dateien auf seine Webspace nach dem JavaScript-Code eval(function(p,a,c,k,e,r) zu durchsuchen. Über die Funktion eval() kann man Zeichenketten, die zuvor unter Umständen über eine Entpackfunktion entschlüsselt wurden, als JavaScript-Code ausführen. Auch vor manipulierten .htaccess-Dateien wird gewarnt. Diese können dazu führen, dass eine Umleitung nur unter bestimmten Umständen aktiv wird; etwa wenn der Besucher die Seite über Google aufruft. Stammbesucher, einschließlich des Webmasters, bemerken die Infektion dadurch nicht.

Die Mail enthält einen Link zu einer Erste-Hilfe-Anleitung, die den Webmaster dabei unterstützen soll, seine Seite zu säubern. Darüber hinhaus wird er ausdrücklich dazu aufgefordert, die zur Infektion genutzte Sicherheitslücke zu schließen. Google hat Ende 2010 damit begonnen, Webmaster auf diese Weise zu warnen. Damals kündigte das Unternehmen an, zusätzlich in den Google-Suchergebnissen vor einem Besuch der verseuchten Seiten warnen zu wollen.

Quelle : www.heise.de

[SiLæncer]

Bei zwei Hackerangriffen wurden potentiell bis zu 1,4 Millionen Accounts kompromittiert. Am vergangenen Dienstag informierten die Betreiber von AndroidForums.com ihre über eine Million Mitglieder darüber, dass der Server gehackt wurde und es dabei auch Zugriff auf die Nutzerdaten gab. Die Betreiber können nicht ausschließen, dass die Eindringlinge dabei sämtliche Mailadressen und die, nach eigenen Angaben gesalzenen, Passwort-Hashes entwendet haben.

Auch die Webseite des Grafikkartenherstellers Nvidia wurde attackiert. Die Angreifer griffen auch hier auf Mailadressen und gesalzene Passwort-Hashes zu. Darüber hinaus sind die in den Benutzerprofilen angezeigten persönlichen Informationen betroffen. Gegenüber heise Security erklärte das Unternehmen, dass neben dem Hauptforum (forums.nvidia.com) mit rund 290.000 registrierten Mitgliedern auch auf die Daten des Entwicklerbereichs (developer.nvidia.com) zugegriffen wurde, der ungefähr 100.000 Mitglieder zählt. Darüber hinaus sind die rund 1200 Datensätze des Forschungsbereichs (research.nvidia.com) betroffen. Nvidia hat die gehackten Webseiten vorübergehend gesperrt.

Wer hinter den Angriffen und welches Motiv dahinter steckt, ist bislang völlig unklar. Wer bei einem der Dienste registriert ist, sollte umgehend sein Passwort ändern – und zwar auf allen Webseiten, auf denen es genutzt wird. Die Cyber-Einbrecher bedienen sich wie selbstverständlich im großen Stil an den Nutzerdaten prominenter Seiten. Wer da noch ein und dasselbe Passwort auf bei sämtlichen Webdiensten nutzt, handelt grob fahrlässig. Wie gefährlich das werden kann, war jüngst bei GMX zu sehen: Spam-Versender konnten sich mit geklauten Zugangsdaten bei tausenden GMX-Accounts einloggen.

Momentan gibt es eine unerklärliche Häufung von Passwortdiebstählen: Erst vergangenen Mittwoch wurden bei einem Yahoo-Dienst die Mailadressen und Klartext-Passwörter von über 450.000 Nutzern geklaut und anschließend veröffentlicht. Davor wurden mehrere Millionen Datensätze bei dem Business-Netzwerk LinkedIn, der Musik-Community Last.fm und der Datingseite eHarmony.com ins Netz gestellt. Diese waren zwar gehasht, wurden inzwischen jedoch zu einem Großteil geknackt.

Quelle : www.heise.de