100 Millionen Passwörter von LinkedIn-Mitgliedern im Netz aufgetaucht
Der Passwort-Hack bei LinkedIn im Jahr 2012 ist noch katastrophaler als bisher bekannt. Im Netz kursieren aktuell über 100 Millionen Datensätze von Mitgliedern des Berufs-Netzwerks. Was Sie über den gigantischen Klau wissen müssen.
Was geschah 2012 bei Linkedin?
Das Berufsnetzwerk LinkedIn wurde am 5. Juni 2012 von russischen Cyberkriminellen gehackt. Der Täter veröffentlichte wenig später 6,5 Millionen verschlüsselte Passworte von Mitgliedern online. Die meisten Passworte waren schon wenig später geknackt – LinkedIn hatte sie nur unzureichend gesichert.
Wie genau der Hack damals ablief, ist bis heute unklar. LinkedIn hat sich nie zum konkreten Ablauf geäußert.
Welche Daten wurden von den Kriminellen bei LinkedIn erbeutet?
Die Täter erbeuteten E-Mail-Adessen von Mitgliedern, verschlüsselte Passwörter und LinkedIn Mitglieder-IDs – eine interne Kennung, die LinkedIn jedem Mitgliederprofil zuweist.
Und was ist jetzt passiert?
Seit kurzem bietet ein Unbekannter unter dem Pseudonym „Peace“ im Netz rund 117 Millionen LinkedIn-Passwörter zum Kauf an. LinkedIn bestätigte, dass auch diese Daten echt sind. „Am 17. Mai 2016 erfuhren wir, dass Daten, die im Jahr 2012 von LinkedIn gestohlen wurden, im Internet veröffentlicht wurden“, so das Netzwerk wörtlich in einer Nachricht an seine Mitglieder. Berichten zufolge sind auch die meisten dieser nun angebotenen Passworte schon entschlüsselt.
Damit ist klar, dass der LinkedIn-Hack weitaus katastrophalere Ausmaße hatte als bisher bekannt.
Was hat das Ganze für Folgen?
Das Problem ist, dass viele Menschen ein und dasselbe Passwort für verschiedene Dienste nutzen. LinkedIn-Mitglieder, die sich ebenso verhalten, müssen also damit rechnen, dass Kriminelle mit den damals erbeuteten Daten auch auf andere von ihnen genutzte Dienste zugreifen können oder konnten. Auf eine weitere Konsequenz weist das Fachportal heise.de hin: „Echte Passwörter sind auch ein wichtiger Rohstoff für Cracker und deren fortgeschrittene Algorithmen. Die kann man nämlich damit so trainieren, dass sie zukünftig noch effizienter arbeiten.“
Was hat LinkedIn nach dem Hack unternommen?
„Wir haben die Passwörter aller LinkedIn Konten, die vor der Sicherheitsverletzung im Jahr 2012 erstellt und deren Passwörter seither nicht zurückgesetzt wurden, ungültig gemacht. Darüber hinaus nutzen wir automatisierte Tools, um jegliche verdächtige Aktivitäten auf den betroffenen Konten sofort zu erkennen und zu blockieren“, so das Unternehmen. Und weiter: „LinkedIn hat seit 2012 wesentliche Schritte unternommen, um die Sicherheit der Mitgliederkonten zu verbessern. Beispielsweise wird bei der Speicherung von Passwörtern nun das Salting- und Hashing-Verfahren verwendet. Unsere Mitglieder haben mit der zweistufigen Überprüfung außerdem noch eine weitere Möglichkeit, Ihre Konten zu schützen.“
Was sollten LinkedIn-Mitglieder jetzt tun?
Ändern Sie umgehend Ihr Passwort, sofern noch nicht geschehen. Wenn Sie Ihr LinkedIn-Passwort auch bei anderen Online-Diensten verwendnet haben, sollten Sie auch diese umgehend ändern – und nie wieder einsetzen.