Last.fm-Hack: 43 Millionen Nutzerdaten erbeutet

Last.fm räumte bereits im März 2012 ein, dass man gehackt wurde. Doch wie viele Nutzer betroffen waren, war bislang nicht bekannt. Nun wurde dem Blog LeakedSource.com der gestohlene Datensatz zugespielt. Daraus geht hervor, dass rund 43 Millionen Nutzerdaten vom Hack betroffen waren, darunter Passwörter, E-Mails, Nutzernamen und weitere "interne Daten".

Userdaten nicht ausreichend verschlüsselt

LeakedSource.com bemängelt in ihrem Blogpost die unzureichende Verschlüsselung der Passwörter auf den Servern von last.fm. Die Userdaten wurden mit MD5-Hashing gespeichert, eine Methode, die Passwörter in Zahlen- und Buchstabenfolgen umwandelt, die nicht mehr zurück zu den ursprünglichen Passwörtern führen können.

Um jedoch das Erraten unverschlüsselten Nutzerdaten mittels dedizierter Software zu verhindern, sollten die Hashes zusätzlich „gesalzen“ werden, was von last.fm nicht erfolgte. Salting beschreibt das Verlängern der Hashes um weitere zufällige Zeichen, die nur vom Webserver als unbedeutend erkannt werden können, nicht aber von Hackern. So konnte LeakedSource.com in kurzer Zeit die Datensätze entschlüsseln.

Usern von last.fm wird geraten ihre Passwörter zu ändern, idealerweise nicht auf „123456“, das auf last.fm das am meisten Passwort benützte war.