Montag, 12. Juni 2006

Partyguide auf den Spuren von Flirtlife.de

image-661

Flirtlife.de hacked
Originally uploaded by emeidi.

Wie der heute erschienen c’t zu entnehmen ist, scheint sich mein Partyguide-Hack in wunderbarer Koinzidenz mit einem anderen Hack ereignet zu haben:

Auf der Sicherheitsmailingliste Full Disclosure [Erläuterung des Begriffes] wurde eine Liste mit Zugangsdaten von rund 100 000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht.

Schade, schade …

Der Betreiber reagierte am Folgetag mit der Sperrung sämtlicher Accounts; rund 200 000 Turteltäubchen mussten sich ein neues Passwort setzen.

Betreiber kommen selbstverständlich deutlich stärker unter Druck, rasch und richtig zu reagieren, wenn die Passwörter ohne Vorwarnzeit veröffentlicht werden. In meinem Fall war es so, dass ich die Passwörter erst veröffentlicht habe, als a) die Sicherheitslücke von Betreiber geschlossen worden war und b) die Passwörter mit den kompromittierten Accounts nicht mehr funktionerten.

Im Gegensatz zu den Schlampereien bei Partyguide hielten sich die Entwickler von Flirtline.de an gängige Praktiken zum Schutz der Passwörter:

Dies stützt Kopolts Aussage, dass die Passwörter nicht von Flirtlife stammen können, weil dort Passwörter nicht im Klartext, sondern als MD5-Hashes gespeichert werden.

Quelle: c’t, Nr. 13, 12.06.2006, „Flirt-Passwörter“, S. 64.

Dasselbe habe ich im Nachgang den Betreibern von Partyguide empfohlen.

Was Flirtlife.de nicht sagt: Vielleicht war Jason (und seine Entwickler-Argonauten) dort als externe Developer beschäftigt und speicherten – wie lange Zeit bei Partyguide – die Passwörter im Klartext in Cookies ab?

Im Artikel wird vermutet, dass die Passwörter durch „Mitschneiden des Netzwerkverkehrs“ ergattert wurden. Hier müssen wir auf die Load-Balancer von Partyguide & Co. vertrauen. Denn dort sammelt sich der Netzverkehr schlussendlich und wäre am leichtesten abzugreifen.

Häufige Passwörter

Erstaunlich, wie ähnlich sich die Passwortlisten (Flirtlife-Passwörter: vgl. Scan des Artikels) der beiden Hacks sehen. Die Internet-Benutzerschaft scheint ein Faible für Passwörter zu haben, die mit 1234 beginnen oder hallo, ficken (das Partyguide-äquivalent: arschloch) oder passwort enthalten.

Ich hoffe schwer, dass die schweizerischen Party-Communities bereits Ende letzter Woche alles unternommen haben, um die tausenden privaten Datensätze von Benutzern weiter abzusichern. Ich bin mir nicht sicher, ob die Ableger der Generation Fun & Party die Verantwortung endlich für ihr Tun übernehmen möchten und wollen (ich warte schon gespannt auf Kommentator martin, der mich auffordert, die Verantwortung für mein Tun zu übernehmen und mich selbst wegen Datendiebstahl der übelsten Sorte anzuzeigen). Wie wäre es mit einer ISO-Zertifizierung? Für den Prüfbericht von Partyguide würde ich garantiert eine gewisse Summe hinblättern.

Wer Zeit und Lust hat (nein, diesmal nicht ich, da ich eher auf solch obereinfache Mini-Hacks stehe wie bei Partyguide *grins*), startet eine Brute-Force-Dictionary-Attack (alle Passwörter mit einem bestimmten Account durchtesten) mit den auf Full Disclosure und hier für Partyguide veröffentlichten Passwörtern.

Die Anbieter täten also gut daran, schleunigst Black-Lists verbotener Passwörter einzusetzen. Im gleichen Zug könnte man so auch hunderte, ja gar tausende nicht mehr genutzter Account löschen (laut einem anonymen Informanten ist Partyguide andererseits sehr stolz über seine über 200’000 User, auch wenn die Hälfte davon wohl gefaket ist – davon möchte man sich nicht gerne trennen).

Fazit

Partyguide dämmert es hoffentlich endlich, dass es intelligenter wäre, den gesamte Spaghetti-Code einem Security-Audit zu unterziehen, anstelle dauernd neue Features, die die Welt nicht braucht, aufzuschalten (nette Kritik der Blog-Funktion drüben bei Onkel Tom – FULL ACK).

Bisher erschienen …

Alle Blog-Beiträge, die Partyguide im Titel enthalten

0.5x Dank: Kollege Liechti, der vom Flirtlife-Hack wusste, aber dem der Name der Site partout nicht mehr einfallen wollte.

Nachtrag

Mittlerweile habe ich auch den Online-Artikel auf Heise gefunden:

Passwortdaten von Flirtlife.de kompromittiert

Spannend ist u.a. die Diskussion im Forum:

Seitenbetreiber haftbar?

… sowie auch in einem anderen Forum, in dem sich jemand frägt, ob es legal ist, die Liste der Passwörter herunterzuladen:

Frage zu Hack von Flirtportal

Die Parallelen sind in beiden Fällen hier nicht von der Hand zu weisen. Im Heise-Forum schlagen sich die meisten Teilnehmer aber glücklicherweise nicht auf die Seite des fahrlässigen Anbieters …

Und die Vermutung dieses Forum-Teilnehmers erweist sich – zumindest für Partyguide – als richtig:

select * from users where password like md5(username)

Und hiermit kickte sich der Anbieter von flirtlife.de definitiv in die Partyguide-Liga:

ein Datenbank-Kennwort der Datenbank war lange einsehbar

Der Klassiker schlechthin:

Unfähige Programmierer

Liked this post? Follow this blog to get more. 

Tags:
Labels: Allgemein

Kommentar erfassen