Immer Extra-Passwort für Webmail-Account:
32 Millionen Zugangsdaten offen für Hacker

von Werner Veith (werner.veith@networkcomputing.de)

Share
14.12.2009

Durch eine Sicherheitslücke in »Rockyou.com« waren die dort gespeicherten Zugangsdaten von 32 Millionen Anwendern zeitweise offen für den Zugriff von Hackern. Da viele Anwender ihre dortigen Zugangsdaten auch für Webmail-Accounts verwenden, kann der Schaden dadurch noch viel größer sein.

(Fortsetzung des Artikels von Seite 1)

Persönliche Nutzerdaten können schneller in die Hände von Cyber-Gangstern fallen, als es sich Anwender vielleicht vorstellen können. In Social-Networks und anderen zugeordneten Websites liegen eine Vielzahl von Nutzerdaten: eine begehrliche Beute. Wie leicht der Zugriff sein kann, zeigt der Fall »Rockyou.com [1]«. Die Website ist ein wichtiges Element für Social-Networks wie Facebook oder Myspace. Auf Rockyou hat das Sicherheitsunternehmen Imperva [2] eine SQL-Injection-Schwachstelle entdeckt. Dabei hätten Cyber-Gangster über das Einschleusen von Datenbankabfragen in SQL die Zugangsdaten von 32 Millionen Anwendern abgreifen können. Diese wiederum wären dann die Basis für weitere Angriffe auf Webmail-Konten gewesen.

Das Dashboard der Web-Application-Firewall »SecureSphere« von Imperva

Darin liegt die eigentliche Brisanz eines möglichen Angriffes: Viele Rockyou.com-Nutzer verwenden das gleiche Passwort für ihren Webmail-Account bei Gmail, Hotmail oder Yahoo. Über den Zugriff auf diese Konten kommen Cyber-Gangster dann an viele persönliche Daten, die dort gespeichert sind. Dies können etwa Kreditkarteninformationen, vertrauliche Geschäftsinformationen oder Zugangsdaten zu anderen Diensten sein.

Aber ein möglicher Angriff hätte noch weitere Folgen haben können: Cyber-Gangster könnten anstelle des Opfers sehr gezielt E-Mails an die dort gespeicherten Kontaktlisten verschicken. Schließlich ist das auch sehr attraktiv, um Spam an eine Vielzahl anderer Nutzer zuschicken.

Mittlerweile hat Rockyou.com die Sicherheitslücke geschlossen. Es gibt allerdings ein paar Vorsichtsmaßnahmen, die ein Nutzer einhalten sollte. Dies fängt damit an, dass er separate Accounts für berufliches und privates hat. Weiter sollte er sehr vorsichtig damit sein, welchen Anwendungen er seine E-Mail-Adresse gibt. Ein regelmäßiger Wechsel des Passworts gehört unbedingt dazu. Außerdem sollten die Passwörter für E-Mail-Konten, nicht die gleichen wie für andere Applikationen sein.

Auch Unternehmen sollte die Schwachstelle nicht gleichgültig lassen. Denn schließlich setzen auch sie Web-Anwendungen ein, die schnell zur Zielscheibe werden können. Der Zugang zu diesen sollte über eine Web-Application-Firewall geschützt sein. Ein regelmäßiger Code-Review hilft, Schwachstellen zu finden. Passwörter dürfen niemals im Klartext gespeichert werden.

[1] http://rockyou.com/
[2] http://www.imperva.com/index.html

Verwandte Artikel