LinkedIn-Einbruch: Mehr Fragen als Antworten

Originalbeitrag von Raimund Genes, Chief Technology Officer

Berichten zufolge war der Einbruch bei LinkedIn im Jahr 2012 viel schlimmer als ursprünglich angenommen. Statt der damals angegebenen 6,5 Millionen gestohlenen Datensätzen waren es offensichtlich 167 Millionen betroffene Nutzer. 117 Millionen Datensätze enthielten die Mailadresse und das Passwort des entsprechenden Nutzers. Die Öffentlichkeit wurde erst dann aufmerksam, als diese Riesendatenmenge im Dark Web verkauft wurde. LinkedIn veröffentlichte einen Blogeintrag, in dem der Dienst die Echtheit der abgeflossenen Daten bestätigte und die Nutzer dazu aufforderte, ihre Passwörter zu ändern.

Als Betroffener versuchte sich der Autor an verschiedenen Passwörtern: Bei Raimund_Genes markierte das System das Ergebnis in grün als „Fair Password“. Im Fall von Linkedin_Raimund wurde es als „Strong Password“ bewertet. Dies sind aber keine Kennwörter, die als „stark“ zu bezeichnen wären. Nach einem so viel beachteten Einbruch hätte der Dienst die Gelegenheit nutzen sollen, um die Anwender im Gebrauch von starken Passwörtern zu schulen. Auch die Anzeige des Browsers, des Betriebssystems und Standorts eines Nutzers ist wohl keine so gute Idee:


Auch gibt es weitere Aspekte dieses Sicherheitsvorfalls, die Anlass zu Beunruhigung geben. Es ist nicht klar, wie ein Einbruch dieses Ausmaßes unbemerkt bleiben konnte – was auch dazu führte, dass alle den Vorfall 2012 für unbedeutender hielten, als er tatsächlich war. LinkedIn-Nutzer haben eine Erklärung dazu verdient, was da passiert ist. Was wusste LinkedIn und seit wann? Wie viele Nutzer waren tatsächlich betroffen, und für welche Daten bestand ein Risiko?

Auch wenn die Benachrichtigung über einen Einbruch immer heikel ist, reichen flüchtige Versicherungen nicht aus, schon gar nicht, wenn das betroffene Unternehmen wertvolle Daten verwaltet. Das Vertrauen der Nutzer ist für jedes Geschäft essenziell. Auch zum Einbruch selbst gibt es unbeantwortete Fragen: Zwar ist die Echtheit bestätigt worden, doch wie konnte ein Einbruch dieses Ausmaßes verborgen bleiben? Sagt das etwas über diejenigen aus, die für den Einbruch verantwortlich waren und darüber, wie die Informationen genutzt wurden?

LinkedIn hat an der Verbesserung der Sicherheit gearbeitet. Das Unternehmen hat nach dem Einbruch gepfefferte Hashes für die Speicherung der Passwörter eingeführt und auch eine Überprüfung in zwei Schritten für Logins von neuen Geräten aus. Diese Verbesserungen sind zu begrüßen, auch wenn es immer noch besser geht. Beispielsweise haben viele hochvolumige Sites, allen voran Google, eine richtige Mehrfaktor-Authentifizierung auf Basis von RFC 6238 implementiert.

Nutzer, die sich über die Sicherheit ihrer LinkedIn-Konten Gedanken machen, sollten die für sie verfügbaren Tools nutzen. Starke Passwörter (zufallsgeneriert und von einem Password Manager verwaltet) oder vorhandene Überprüfung in zwei Schritten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.