Passwortdaten von Flirtlife.de kompromittiert

Dieses Thema im Forum "Netzwelt" wurde erstellt von Codas, 22. Mai 2006 .

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 22. Mai 2006
    Passwortdaten von Flirtlife.de kompromittiert

    Auf der Sicherheits-Mailing-Liste Full Disclosure wurde am vergangenen Sonntagabend eine Liste mit Zugangsdaten von rund 100.000 Nutzern der Internet-Dating-Website Flirtlife.de veröffentlicht. Der Betreiber reagierte nach eigenem Bekunden bereits an diesem Montagmorgen mit der Vergabe neuer Passwörter für die Accounts und informierte die Nutzer per E-Mail über die Maßnahme. Zur Reaktivierung des Accounts müssen Turteltäubchen nun ein neues Passwort setzen. Im eigenen Interesse sollte dies natürlich nicht wieder das alte

    Passwort sein, da es nun als bekannt angesehen werden muss.

    Flirtlife-Geschäftsführer Matthias Kopolt sagte gegenüber heise Security, dass es sich bei der Liste wahrscheinlich um einen alten Stand der Passwortdatenbank handelt, da etwa die Hälfte der Benutzernamen mittlerweile nicht mehr existierten. Demnach wären also höchstens rund ein Viertel der derzeit 200.000 Accounts von der Veröffentlichung betroffen. Wie die Account-Daten an die Öffentlichkeit gelangen konnten, ist für Kopolt derzeit noch schleierhaft. Passwörter würden bei Flirtlife ausschließlich als so genannte MD5-Hashes abgelegt und seien damit nicht im Klartext auslesbar. Er vermutet, dass die Angreifer nicht über eine Schwachstelle in der Flirtlife-Seite an die Daten gelangten. Man sei im Hause jedoch noch mit den Untersuchungen zugange.

    Derweil offenbart ein Blick auf die Passwortliste interessante Einsichten. Sie ist stellenweise mit HTML- beziehungsweise XML-ähnlichen Strukturen durchsetzt. Mehrfach auftretende BODY-Tags, wie sie zu Beginn und Ende jeder Webseite auftauchen, legen die Vermutung nahe, dass sie das Ergebnis mehrerer Sammelaktionen gewesen sein könnte. Offensichtliche Buchstabendreher in Account-Namen weisen auf die Protokollierung mehrfacher, erfolgloser Log-in-Versuche hin. Möglicherweise versuchten die Angreifer auch, sich mit einem Passwort aus einer Liste besonders häufig auftretender Passwörter bei möglichst vielen Accounts anzumelden.

    Vernachlässigt man Vertipper bei Accountnamen sowie unterschiedliche Groß- und Kleinschreibung, ergibt sich in der veröffentlichten Liste bei einer Gesamtzahl von rund 100.000 Datensätzen folgende Verteilung der häufigsten Passwörter:

    Code:
    123456 1375
    :love:n 404
    12345 367
    hallo 362
    123456789 260
    schatz 253
    12345678 215
    daniel 215
    askim 184
    nadine 177
    1234 176
    passwort 173
    sommer 159
    baby 159
    frankfurt 159
    Auffällig ist die starke Häufung der Ziffernfolge 1234, mit der insgesamt rund 2,5 Prozent aller Passwörter beginnen: Ein blinder Login-Versuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg. Ebenfalls ein zu starker Themenbezug oder typische Vor- und Kosenamen als Passwort könnten zum Verhängnis werden. Auch sehr beliebt: Markennamen, Sportvereine und Jahreszahlen. Immerhin: Rund 40 Prozent der Passwörter tauchen nur einmal auf, ein Großteil davon sind unvorhersehbare Kombinationen aus Buchstaben, Zahlen und Sonderzeichen. Daran sollten sich Flirtlife-Nutzer für das neue Passwort ein Beispiel nehmen. (cr/c't)


    Quelle: http://www.heise.de/newsticker/meldung/73396
     

  2. Anzeige
  3. #2 22. Mai 2006
    Da sieht man mal was viele für schwachsinnige passwörter haben

    Aber im gegensatz zu "123456" is ja ":love:n" noch sicher.
    Trotzdem, mein passwort ist zwar leicht aber so abstrakt dasses kenier rausbekommt^^
     
  4. #3 22. Mai 2006
    Meins ist kurz, aber auch abnormal ^^

    Wer von euch ist dort eigentlich angemeldet? Ich schon ;)
     
  5. #4 22. Mai 2006
    Gibt weitaus bessere Communities, ich nenne hier mal keine , will ja nich werben :)
    Da bekommt jeder user seinen eigenen " Kanton " , das is ne login/online liste derer die näher <50 km wohnen.
    Das isn service der sich zum fliretn besser eignet als ewig zu suchen, aber gut, darum gehts nicht.
    Pass system is da auch n billiges^^
    Gibt aber ne comm da musste auch nen sicherheitscode eingeben und deine mailadresse, neben passwort und username.
    Nichts ist unknackbar :D
     
  6. #5 23. Mai 2006
    Flirtlife ist genau wie knuddels nur auf das geld der user aus , je mehr user , desto mehr geld , desto mehr features bietet der serviece den leuten.Ob man da die große liebe findet ? ich hatte i´mmer nur was zum f. gefunden , das war gut , weil umsonst und oft sehr gut aussehend.
    Darf man die ganze liste der passwörter hier veröffentlichen ? ;)
     
  7. #6 23. Mai 2006
    LoL hatte mal dort ein account war aber lange her und das pw war 123456...^^..bin aber lange nicht mehr auf solchen flirt communities,is unnötig in meinem auge ich suche meine großbe liebe nicht im internet ;) aber jede hat seine eigene meinung

    mfg sHU
     
  8. #7 23. Mai 2006
    LOL an den Passwörtern sieht man welches "Clientel" sich da rumtreibt, also der Großteil. Jemand der öfters im Netz aktiv ist, und dem sein Acc da lieb ist, nimmt doch ein anderes PW als 123456 :D

    mfg
     
  9. #8 23. Mai 2006
    lol echt? :D
    naja aber das 123456 ist nicht wirklich nen sinnvolles pw Oo
    gut das ich da nicht binn
     
  10. #9 23. Mai 2006
    immerhin sind auch pws wie:
    also nicht nur Kiddies mit unsicheren PWs.
     
  11. #10 23. Mai 2006
    Dann musste aber bedenken dass viele keine %)§="(=" usw erlauben.
    Dann werden die passes gleich wieder ne große spur unsicherer ;)
     
  12. #11 23. Mai 2006
    ist mir eigentlich egal mein pw ich binn eh net oft in fl on :) mein pw war 123 :) :)
    aba egal jetzt ist des ja geändert
     
  13. #12 23. Mai 2006
    Naja, Passwörter ^^
    Hatte über ein jahr bei Ogame als passwort nur "t3" weil mir schlicht nichts besseres eingefallen ist.
    Wurde nue gehäckt oder sonstwas bis die admins einfach gesagt haben, das PWs eine Mindestlänge von 5 haben müssen (und nebenbei alte Passwörter nie kürzer wie dies war gesperrt haben ohne die möglichkeit sie einfach zu ändern)
     

  14. Videos zum Thema