Riesige Verstöße gegen Tumblr- und LinkedIn-Daten könnten verbunden sein

Google Project Zero veröffentlicht Microsoft Browser Day Bug Hacker Tastatur Dark RoomDas massive Ausmaß eines Datenverstoßes, der die Social-Blogging-Plattform Tumblr betraf, wurde zum ersten Mal aufgedeckt.

Der Yahoo-eigene Dienst gab zu, dass er 2013 gehackt worden war, weigerte sich jedoch, die Anzahl der betroffenen Konten preiszugeben. Laut dem Sicherheitsexperten Troy Hunt sind Hacker mit insgesamt rund 65 Millionen Tumblr-Passwörtern davongekommen, was es zum drittgrößten Datenverstoß aller Zeiten macht.

Noch faszinierender ist jedoch die mögliche Verbindung zwischen dem Tumblr-Hack und einem kürzlich aufgedeckten LinkedIn-Verstoß. Letzterer ist der aktuelle Rekordhalter in Bezug auf die Menge der gestohlenen Daten, aber Hunt hat auch Parallelen zur Art und Weise gezogen, wie Daten online verkauft werden.

In beiden Fällen stehen die vom Hacker oder den Hackern extrahierten Passwörter dem Höchstbietenden im dunklen Internet zur Verfügung. Darüber hinaus wurden die von Hunt online entdeckten Einträge alle vom selben Verkäufer erstellt, einem Konto, das als "peace_of_mind" bekannt ist. Das bedeutet nicht unbedingt, dass der Einzelne die Person ist, die für die Verstöße verantwortlich ist, aber es ist eine weitere Ähnlichkeit.

Es gibt auch einen dritten Verstoß gegen ein einst populäres, aber inzwischen nicht mehr existierendes soziales Netzwerk, das angeblich das größte von allen ist. Es wird vermutet, dass MySpace an einem unbekannten Datum gehackt wurde, möglicherweise in der Blütezeit Mitte der 2000er Jahre, und dass 360 Millionen Datensätze gestohlen wurden. Die Tatsache, dass all diese Verstöße jetzt ans Licht kommen, ist laut Hunt ein weiterer Hinweis darauf, dass die Täter möglicherweise dieselben sind.

„Hier tauchen einige wirklich interessante Muster auf. Eines ist offensichtlich das Alter; Der neueste Verstoß gegen diese jüngste Flut ist immer noch mehr als drei Jahre alt “, erklärt Hunt. "Diese Daten haben lange Zeit (oder zumindest außerhalb der Öffentlichkeit) ruhend gelegen."

Sicherheitsexperten raten Social-Media-Unternehmen außerdem, über Passwörter hinauszugehen, um ihre Mitglieder zu schützen.

"Die Verstöße bei MySpace und LinkedIn sind nur zwei weitere Beispiele dafür, warum Passwörter nicht ausreichen, um sensible Daten zu schützen", sagte Vishal Gupta, CEO des Sicherheits-Startups Seclore, gegenüber Digital Trends. „Datenzentrierte Sicherheitslösungen sind ein natürlicher Kandidat für die Ergänzung des zunehmend geschwächten Passworts. Durch die Anwendung von Schutzmaßnahmen auf Datenebene bleiben die Daten völlig unbrauchbar, selbst wenn es Hackern gelingt, vertrauliche Informationen in die Hände zu bekommen. “

Es ist wichtig zu beachten, dass Tumblr behauptet, die gestohlenen Benutzer-E-Mail-Adressen enthielten alle gesalzene und SHA1-Hash-Passwörter, die viel schwerer zu knacken sind.