Digital Life
11.07.2012

400.000 Formspring-Passwörter veröffentlicht

Über 400.000 Passwörter der Plattform Formspring sind im Internet aufgetaucht.

Ende vergangener Woche wurden die Passwort-Hashes von Heise Online entdeckt. Die Daten konnten aber nicht zugeordnet werden, bis sich ein Leser der Seite The H mit einem Hinweis meldete. Dieser gab an, dass in hunderten Passwörtern der Begriff formspring vorkommt.

Behebung
Die Plattform-Betreiber wurden von Heise kontaktiert. In einem der Entwicklungsserver der Plattform wurde das Leck entdeckt und der Fehler sofort behoben. Weiters wurden die Passwörter aller User sofort zurückgesetzt und der Passwort-Hash-Vorgang von SHA-256 auf bcrypt geändert. Das neue Verfahren kann man bisher nur mit enormen Rechenaufwand knacken und dauert dementsprechend lange.

Datenleck
Man vermutet aber, dass das Datenleck ein weitaus größeres Ausmaß genommen hat als bisher bekannt. Raffinierte Passwortknacker haben schon in etwa die Hälfte der 400.000 Hashes rekonstruiert. Es wird davon ausgegangen, dass weitaus mehr Passwort-Hashes geleakt sind, als die, die in der Liste stehen. Die 400.000 veröffentlichten Hashes könnten nur die ungegknackten Passwörter sein.

Mehr zum Thema

  • Last.fm: Alle User sollen ihr Passwort ändern