Living Social informierte am Wochenende seine Anwender, dass Hacker die Systeme der beliebten Gutschein-Seite kompromittiert und eine unbekannte Menge Namen, E-Mail-Adressen, Geburtsdaten sowie verschlüsselte Passwörter der Living-Social-Mitglieder gestohlen hatten.
Die gute Nachricht laut Living Social ist, dass die Passwörter mit Hash und Salt verschlüsselt waren – mit anderen Worten: Sie waren so stark verschlüsselt gespeichert, dass es für die Angreifer sehr schwer ist (wenn nicht sogar unmöglich), die Passwörter zu entschlüsseln. Das Unternehmen sagte zudem, dass die Hacker nicht in die Datenbank eingebrochen sind, in der die Kreditkarteninformationen und andere Zahlungsdaten der Anwender gespeichert werden.
Noch einmal der Hinweis: „Gehashte“ Passwörter (ganz unten dazu ein paar Infos) sind schwer zu knacken, aber unmöglich ist es nicht. Wenn Sie also ein Konto bei Living Social haben, sollten Sie sofort hier klicken und Ihr Passwort ändern. Und ebenso wichtig: Wenn Sie das gleiche Passwort auch auf anderen Seiten benutzten, müssen Sie diese Passwörter ebenfalls ändern.
Es ist leider fast schon so, dass Hacker Zahlungsinformationen, unverschlüsselte Passwörter oder peinliche Daten auf einem gehackten Server finden müssen, so dass irgendjemand Notiz davon nimmt. Anwender, aber auch Firmen, die ihre Kundendaten besser schützen sollten, und sogar einige Sicherheitsexperten werden immer desensibilisierter gegenüber solchen Vorfällen. So war es nicht immer. Früher sprach niemand über Datendiebstähle, dann wurde es immer schwerer, solche Einbrüche unter den Teppich zu kehren und die Firmen mussten sie zugeben. Heute merken wir, wie normal Datendiebstähle sind und es ist sehr schwer, bei den täglichen Vorfällen noch den Ärger darüber aufrecht zu erhalten.
Und wir lesen genauso viel über Spear-Phishing, Phishing, Water-Holing und andere Social-Engineering-Methoden wie über Datendiebstähle. Generell verlassen sich Social-Engineering-Angriffe darauf, dass der Angreifer bestimmte Informationen über sein Opfer bekommt. Und woher glauben Sie, bekommt er die E-Mail-Adressen für Phishing-Angriffe? Woher kennt er die Interessen des potenziellen Opfers, so dass er eine erfolgreiche Water-Holing-Attacke starten kann? Warum sind die Hacker so gut darin, Passwörter und die Antworten auf Sicherheitsfragen zu erraten?
Viele dieser Informationen wurden durch Datendiebstähle ermittelt. Um ehrlich zu sein, kommen viele dieser Daten auch von den Anwendern selbst, die Informationen über sich ganz offen bei Sozialen Netzwerken veröffentlichen, doch das ist ein anderes Thema. Die Menschen nutzen oft ihre geschäftliche E-Mail-Adresse bei verschiedenen Online-Diensten, doch wenn diese Dienste gehackt werden, bekommen die Angreifer diese Adressen und können versuchen, darüber die Firmen anzugreifen. Geburtsdaten können dabei sehr wertvoll sein, denn oft werden sie in Passwörtern oder als Antworten auf Sicherheitsfragen genutzt, mit denen Passwörter zurückgesetzt werden können. Wenn sie geknackt werden, sind solche Passwörter ein ernstes Problem für Anwender, die darauf bestehen, Passwörter mehrfach zu verwenden.
Falls es Sie interessiert (ich denke mal, es interessiert Sie, da Sie ja ein Blog zur Aufklärung über Sicherheitsthemen lesen): Living Social hat eine überraschend gute Erklärung zum so genannten „Salting“ und „Hashing“ geliefert:
„LivingSocial-Passwörter wurden mit SHA1 mit einem zufälligen 40-Byte-Salt gehashed. Das bedeutet, dass unser System die von den Anwendern eingegebenen Passwörter jeweils mit einem Algorithmus zu einem einzigartigen Daten-String verändert hat (im Grunde ein einzigartiger Daten-Fingerabdruck) – das ist der ‚Hash‘. Um eine zusätzliche Schutzebene einzufügen, wurde das Passwort mit dem ‚Salt‘ verlängert und komplexer gemacht. Wir haben unseren Hashing-Algorithmus von SHA1 zu bcrypt gewechselt.“